Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
128<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
127<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Zufallszahl<br />
Signierer<br />
Schlüsselgenerierung<br />
t<br />
Schlüssel zum Testen<br />
der Signatur,<br />
öffentlich bekannt<br />
Schlüssel zum<br />
Signieren,<br />
geheimgehalten<br />
Empfänger<br />
s<br />
Text<br />
x<br />
Signieren<br />
Text mit<br />
Signatur<br />
x, s(x)<br />
Testen<br />
Zufallszahl '<br />
Text mit Signatur<br />
<strong>und</strong> Testergebnis<br />
x, s(x),<br />
„ok“ oder<br />
„falsch“<br />
Fälschungsbeweis<br />
generieren<br />
„ok“ oder<br />
„gefälscht“<br />
„anerkenne“<br />
oder<br />
Fälschungsbeweis<br />
Die <strong>Sicherheit</strong> kann auch anders herum „asymmetrisch“ verteilt werden: Bei e<strong>in</strong>em für den Unterzeichner<br />
unbed<strong>in</strong>gt sicheren Signatursystem (Bild 3-55 <strong>und</strong> 3-56) ist sie:<br />
• unbed<strong>in</strong>gt sicher für den Unterzeichner. Zu jedem öffentlichen Testschlüssel gibt es sehr viele<br />
geheime Signierschlüssel, die wiederum dünn im Raum aller Signierschlüssel liegen. E<strong>in</strong><br />
komplexitätstheoretisch beschränkter Unterzeichner kennt von diesen vielen Signierschlüsseln<br />
nur e<strong>in</strong>en, nämlich s <strong>in</strong> Bild 3-55. Mit ihm kann er zu e<strong>in</strong>em Text x genau e<strong>in</strong>e Signatur s(x)<br />
erzeugen. Erzeugt e<strong>in</strong> komplexitätstheoretisch unbeschränkter Angreifer e<strong>in</strong>e Signatur, so ist<br />
sie mit der Wahrsche<strong>in</strong>lichkeit<br />
1<br />
Anzahl aller möglichen Signaturen<br />
von s(x) verschieden. Erfährt e<strong>in</strong> Unterzeichner, daß er zu x die Signatur s'(x) geleistet haben<br />
soll, so prüft er mittels des nur ihm bekannten Schlüssels s, ob s'(x) = s(x), vgl. Bild 3-57.<br />
Falls ne<strong>in</strong>, d.h. wenn s ≠ s', hat der Unterzeichner e<strong>in</strong>en Fälschungsbeweis <strong>und</strong> kann nachweisen,<br />
daß die komplexitätstheoretische Annahme verletzt ist. Man sollte sich dann auf diese<br />
Annahme nicht mehr verlassen, z.B. also längere Primzahlen verwenden. Außerdem kann<br />
man die Verantwortung so def<strong>in</strong>ieren, daß der Empfänger der Signatur e<strong>in</strong>en auftretenden<br />
Schaden trägt.<br />
• nur kryptographisch für den Empfänger. Denn es kann e<strong>in</strong>em Angreifer oder auch dem<br />
wirklichen Unterzeichner gel<strong>in</strong>gen, e<strong>in</strong>en Fälschungsbeweis zu f<strong>in</strong>den.<br />
Hauptvorteil e<strong>in</strong>es solchen Signatursystems ist, daß man e<strong>in</strong>en Beweis erhält, wenn das Signatursystem<br />
gebrochen ist (Fail-Stop-Signatursystem), <strong>und</strong> deshalb die Verantwortung für den<br />
Schaden beliebig verteilen kann: Jeder komplexitätstheoretisch beschränkte Teilnehmer (<strong>in</strong>kl. dem<br />
legitimen Unterzeichner, d.h. dem Generierer des Schlüsselpaares (t, s)) kann nur mit vernachlässigbarer<br />
Wahrsche<strong>in</strong>lichkeit e<strong>in</strong>en Fälschungsbeweis erzeugen.<br />
Text mit Signatur<br />
Text mit Signatur<br />
Verifizieren<br />
Gericht<br />
Bild 3-57: Fail-Stop-Signatursystem<br />
(≈ Glasvitr<strong>in</strong>e mit Schloß, es gibt nur e<strong>in</strong>en Schlüssel, um etwas h<strong>in</strong>e<strong>in</strong>zutun. Das Glas kann<br />
e<strong>in</strong>geschlagen, nicht aber danach unerkennbar ersetzt werden.)<br />
Mehr über diese Sorte Signatursystem steht <strong>in</strong> [PfWa_91, Pfit8_96] sowie <strong>in</strong> [WaPf_89, WaPf1_89,<br />
Pfit_89, Bleu_90, BlPW_91, HePe_93].<br />
3.9.3 Unbed<strong>in</strong>gt sichere Pseudosignaturen<br />
Es gibt mittlerweile auch e<strong>in</strong> System, das fast die Eigenschaften von digitalen Signaturen hat <strong>und</strong><br />
<strong>in</strong>formationstheoretisch sicher ist, d.h. wo Signaturen überhaupt nicht gefälscht werden können. (Bis<br />
auf die exponentiell kle<strong>in</strong>e Wahrsche<strong>in</strong>lichkeit, daß e<strong>in</strong> Angreifer richtig rät, die alle Authentikationssysteme<br />
haben.) Es ist aber leider bisher ziemlich unpraktikabel.<br />
Mehr über diese Sorte Signatursystem steht <strong>in</strong> [ChRo_91].<br />
3.9.4 Nicht herumzeigbare Signaturen (Undeniable Signatures)<br />
Übliche digitale Signaturen können leicht perfekt kopiert <strong>und</strong> deshalb unbeschränkt herumgezeigt<br />
werden. Abhilfe schafft hier die Idee, das Testen e<strong>in</strong>er Signatur nicht als vom Empfänger autonom<br />
durchführbaren determ<strong>in</strong>istischen Algorithmus vorzusehen, sondern als e<strong>in</strong> <strong>in</strong>teraktives Protokoll, zu<br />
dem man denjenigen braucht, der die Signatur angeblich geleistet hat, vgl. Bild 3-58. So erfährt er,<br />
wenn e<strong>in</strong> Dritter se<strong>in</strong>e Signatur erhalten soll. („Erhalten“ bedeutet hier nicht nur, die entsprechende<br />
Bitkette zu erfahren, sondern auch Gewißheit zu erlangen, daß es sich um e<strong>in</strong>e gültige Signatur<br />
handelt.) Wichtig bei der Gestaltung des Protokolls ist, daß der Unterzeichner e<strong>in</strong>e echte Signatur<br />
nicht ableugnen kann (deshalb die Bezeichnung von David Chaum: <strong>und</strong>eniable): Betrügt er beim<br />
Protokoll, so wird er mit e<strong>in</strong>er Wahrsche<strong>in</strong>lichkeit exponentiell nahe bei 1 erwischt. Macht er beim<br />
Protokoll nicht mit, obwohl er dazu verpflichtet ist, gilt dies als Beweis für die Echtheit der Signatur.