Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

128 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 127 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Zufallszahl Signierer Schlüsselgenerierung t Schlüssel zum Testen der Signatur, öffentlich bekannt Schlüssel zum Signieren, geheimgehalten Empfänger s Text x Signieren Text mit Signatur x, s(x) Testen Zufallszahl ' Text mit Signatur und Testergebnis x, s(x), „ok“ oder „falsch“ Fälschungsbeweis generieren „ok“ oder „gefälscht“ „anerkenne“ oder Fälschungsbeweis Die Sicherheit kann auch anders herum „asymmetrisch“ verteilt werden: Bei einem für den Unterzeichner unbedingt sicheren Signatursystem (Bild 3-55 und 3-56) ist sie: • unbedingt sicher für den Unterzeichner. Zu jedem öffentlichen Testschlüssel gibt es sehr viele geheime Signierschlüssel, die wiederum dünn im Raum aller Signierschlüssel liegen. Ein komplexitätstheoretisch beschränkter Unterzeichner kennt von diesen vielen Signierschlüsseln nur einen, nämlich s in Bild 3-55. Mit ihm kann er zu einem Text x genau eine Signatur s(x) erzeugen. Erzeugt ein komplexitätstheoretisch unbeschränkter Angreifer eine Signatur, so ist sie mit der Wahrscheinlichkeit 1 Anzahl aller möglichen Signaturen von s(x) verschieden. Erfährt ein Unterzeichner, daß er zu x die Signatur s'(x) geleistet haben soll, so prüft er mittels des nur ihm bekannten Schlüssels s, ob s'(x) = s(x), vgl. Bild 3-57. Falls nein, d.h. wenn s ≠ s', hat der Unterzeichner einen Fälschungsbeweis und kann nachweisen, daß die komplexitätstheoretische Annahme verletzt ist. Man sollte sich dann auf diese Annahme nicht mehr verlassen, z.B. also längere Primzahlen verwenden. Außerdem kann man die Verantwortung so definieren, daß der Empfänger der Signatur einen auftretenden Schaden trägt. • nur kryptographisch für den Empfänger. Denn es kann einem Angreifer oder auch dem wirklichen Unterzeichner gelingen, einen Fälschungsbeweis zu finden. Hauptvorteil eines solchen Signatursystems ist, daß man einen Beweis erhält, wenn das Signatursystem gebrochen ist (Fail-Stop-Signatursystem), und deshalb die Verantwortung für den Schaden beliebig verteilen kann: Jeder komplexitätstheoretisch beschränkte Teilnehmer (inkl. dem legitimen Unterzeichner, d.h. dem Generierer des Schlüsselpaares (t, s)) kann nur mit vernachlässigbarer Wahrscheinlichkeit einen Fälschungsbeweis erzeugen. Text mit Signatur Text mit Signatur Verifizieren Gericht Bild 3-57: Fail-Stop-Signatursystem (≈ Glasvitrine mit Schloß, es gibt nur einen Schlüssel, um etwas hineinzutun. Das Glas kann eingeschlagen, nicht aber danach unerkennbar ersetzt werden.) Mehr über diese Sorte Signatursystem steht in [PfWa_91, Pfit8_96] sowie in [WaPf_89, WaPf1_89, Pfit_89, Bleu_90, BlPW_91, HePe_93]. 3.9.3 Unbedingt sichere Pseudosignaturen Es gibt mittlerweile auch ein System, das fast die Eigenschaften von digitalen Signaturen hat und informationstheoretisch sicher ist, d.h. wo Signaturen überhaupt nicht gefälscht werden können. (Bis auf die exponentiell kleine Wahrscheinlichkeit, daß ein Angreifer richtig rät, die alle Authentikationssysteme haben.) Es ist aber leider bisher ziemlich unpraktikabel. Mehr über diese Sorte Signatursystem steht in [ChRo_91]. 3.9.4 Nicht herumzeigbare Signaturen (Undeniable Signatures) Übliche digitale Signaturen können leicht perfekt kopiert und deshalb unbeschränkt herumgezeigt werden. Abhilfe schafft hier die Idee, das Testen einer Signatur nicht als vom Empfänger autonom durchführbaren deterministischen Algorithmus vorzusehen, sondern als ein interaktives Protokoll, zu dem man denjenigen braucht, der die Signatur angeblich geleistet hat, vgl. Bild 3-58. So erfährt er, wenn ein Dritter seine Signatur erhalten soll. („Erhalten“ bedeutet hier nicht nur, die entsprechende Bitkette zu erfahren, sondern auch Gewißheit zu erlangen, daß es sich um eine gültige Signatur handelt.) Wichtig bei der Gestaltung des Protokolls ist, daß der Unterzeichner eine echte Signatur nicht ableugnen kann (deshalb die Bezeichnung von David Chaum: undeniable): Betrügt er beim Protokoll, so wird er mit einer Wahrscheinlichkeit exponentiell nahe bei 1 erwischt. Macht er beim Protokoll nicht mit, obwohl er dazu verpflichtet ist, gilt dies als Beweis für die Echtheit der Signatur.
130 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 129 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Zufallszahl Mehr über diese Sorte Signatursystem steht in [ChAn_90]. Zufallszahl Schlüsselgenerierung t Schlüssel zum Testen der Signatur, öffentlich bekannt Schlüsselgenerierung t Schlüssel zum Testen der Signatur, öffentlich bekannt Schlüssel zum Signieren, geheimgehalten s Schlüssel zum Signieren, geheimgehalten s geblendeter Text Blenden z'(x) Signieren Text Text x Text mit Signatur Testen x, s(x) Signieren x Zufallszahl ' Zufallszahl ' Interaktives Protokoll zur Prüfung der Signatur Text mit Signatur und Testergebnis x, s(x), „ok“ oder „falsch“ z' geblendeter Text mit Signatur z'(x), s(z'(x)) Text mit Signatur und Testergebnis Bild 3-58: Signatursystem mit nicht herumzeigbaren Signaturen (undeniable Signatures) (≈ undurchsichtige Vitrine mit Guckloch und Schloß; es gibt nur einen Schlüssel, um etwas hineinzutun, und der Besitzer des Schlüssels kontrolliert den Zugang zum Guckloch) Entblenden und Testen x, s(x), „ok“ oder „falsch“ 3.9.5 Blind geleistete Signaturen (Blind Signatures) Bild 3-59: Signatursystem zum blinden Leisten von Signaturen (blind Signatures) Blind geleistete Signaturen mit RSA: Hier wird der Angriff von Davida in der Form von Judy Moore, vgl. §3.6.3.1, für einen guten Zweck genutzt: Schlüsselgenerierung, das Versehen von Texten mit Redundanz (muß vor dem Blenden erfolgen), Signieren und Testen erfolgt exakt wie in §3.6.4.2 beschrieben. Die Zufallszahl' z' wird in ZZ * n gleichverteilt zufällig gewählt. Das Blenden mittels Zufallszahl' z' erfolgt, indem der (redundante) Text x modular mit z't multipliziert wird. Als geblendeter Text entsteht: x•z't mod n. (Anmerkung: Ist x ∈ ZZ * n , so erfährt der Signierer dadurch im informationstheoretischen Sinne nichts über x, da z't gleichverteilt in ZZ * n ist. Andernfalls benötigt der Generierer von x die Hilfe des Signierers überhaupt nicht: ggT(x,n) ergibt einen nichttrivialen Faktor von n. Damit hat der Generierer von x RSA vollständig gebrochen, vgl. §3.1.3.1 und §3.6.1, so daß er sich x selbst signieren kann.) Als geblendeter Text mit Signatur entsteht mittels modularer Exponentiation mit s: x•z't mod n, (x•z't ) s mod n. Das Entblenden erfolgt, indem durch z' modular dividiert wird: (x•z't ) s • z'-1 mod n = xs •(z't ) s • z'-1 mod n = xs •z'• z'-1 mod n = xs . Der blind signierte Text mit Signatur lautet dann: x, xs . Ziel dieses Signatursystem-Typs ist, daß Signierer Signaturen leisten können, ohne dabei das Geringste darüber zu erfahren, was sie signieren. Zuerst mag dies vollkommen unsinnig wirken, denn der Signierer sollte daran interessiert sein, was er signiert. Für manche Anwendungen ist aber das Gegenteil der Fall: Bei ihnen kommt es nur darauf an, daß der Signierer weiß, daß er signiert. Es interessiert ihn nicht – und darf ihn auch nicht interessieren – was er signiert. Ein Beispiel hierfür ist ein digitales Zahlungssystem, bei dem der Signierer Banknoten von bestimmtem Wert schafft, indem er mit dem passenden Signierschlüssel eine Zufallszahl (passender Länge und Redundanz) signiert. Er muß dabei nur merken und sicher sein, daß er genau eine Banknote eines solchen Wertes schafft. Dann kann er hierfür die passende Menge Geld verlangen. Derjenige, der sich die Banknote ausstellen, d.h. blind signieren läßt, hat das Interesse, daß der Aussteller die Banknote dabei nicht sieht, genauer: nichts über sie erfährt. Dann kann der Aussteller auch später keine Zahlungsflüsse im digitalen Zahlungssystem analysieren. Mehr über diese Anwendungen steht in §6.4. Mehr über diese Sorte Signatursystem steht in [Chau_83, Cha1_83, Cha1_88, Cha8_85, Chau_89, Schn_96]. In Bild 3-59 ist der Ablauf des blinden Signierens dargestellt: Wie üblich wird zunächst vom Signierer ein Schlüsselpaar (t,s) erzeugt und t bekannt gemacht. Anders als bisher üblich wird der (blind) zu signierende Text x vom Empfänger der Signatur (und nicht etwa vom Signierer) erzeugt – ggf. mit Redundanz versehen, was im Bild und der Notation nicht aufgeführt ist – und mittels einer Zufallszahl' (z') geblendet, d.h. in gewissem Sinne verschlüsselt. Der geblendete Text z'(x) wird dem Signierer zur Signatur übermittelt. Der Signierer signiert z'(x) mit s und schickt z'(x), s(z'(x)) an den Empfänger der Signatur. Nur dieser kennt die Zufallszahl z', die zum Entblenden der Signatur nötig ist – was Abhörer auf dem Übermittlungsweg, ja sogar den Signierer am Ermitteln und Nutzen der blind geleisteten Signatur hindert. Der Empfänger entblendet also z'(x), s(z'(x)) mit z' und erhält so die Signatur s(x). Danach kann er mittels t testen, ob die Signatur s(x) zu x paßt.
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20: 26 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 69: 126 A. Pfitzmann: Datensicherheit u
Seite 121 und 122:
230 A. Pfitzmann: Datensicherheit u
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?