Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

132 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 131 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr ihnen kann er dann G effizient berechnen (im wesentlichen quadratischer Aufwand in k). Arbeiten von den n Bekannten nur höchstens k–1 in böser Absicht zusammen, so können sie G nicht hinter dem Rücken seines Eigentümers heimlich rekonstruieren, wie viel auch immer sie rechnen. Wählt der Eigentümer k fast so groß wie n, kann sein Geheimnis durch Verlust von wenigen Teilen bei seinen Bekannten (sei es durch höhere Gewalt oder Bosheit) unrekonstruierbar werden, andererseits kann bei solcher Wahl von k in Bezug auf n sein Geheimnis fast nicht unbefugt rekonstruiert werden. Wählt der Eigentümer k sehr viel kleiner als n, kann sein Geheimnis nur durch Verlust von vielen Teilen bei seinen Bekannten unrekonstruierbar werden, andererseits kann bei solcher Wahl von k in Bezug auf n sein Geheimnis wesentlich leichter unbefugt rekonstruiert werden. Durch geeignete Wahl von k und n kann der Eigentümer die Zerlegung seines Geheimnisses also an seine Bedürfnisse anpassen. 3.9.6 Schwellwertschema Mittels eines Schwellwertschemas (engl. threshold scheme oder auch secret sharing scheme genannt)) kann der Eigentümer eines Geheimnisses G es so in n Teile zerlegen, daß die Kenntnis von mindestens k Teilen die effiziente Rekonstruktion des Geheimnisses erlaubt, k–1 Teile aber keine Information über das Geheimnis liefern. Beweise finden Sie in [Sham_79], eine Erweiterung zum informationstheoretisch sicheren Erkennen von Verfälschungen des Geheimnisses durch Verfälschung von Teilen in [ToWo_88]. Adi Shamirs Polynominterpolation: Das Geheimnis G sei Element von ZZp, p sei Primzahl. 93 Der Eigentümer wählt ein Polynom q(x) des Grades k-1 folgendermaßen: Er wählt die Koeffizienten a1, a2, ..., ak-1 zufällig, gleichmäßig und unabhängig in ZZp. Er definiert q(x) := G + a1x + a2 x2 + ... + ak-1 xk-1 , wobei alle Operationen in ZZp erfolgen. Er berechnet in ZZp die n Teile (i, q(i)) mit 1 ≤ i ≤ n, wobei n indern oder zumindest zu erkennen, ist es sinnvoll, daß der Eigentümer des Geheimnisses die n Teile (i, q(i)) einzeln digital signiert. Bevor ein Teil zur Rekonstruktion des Geheimnisses verwendet wird, wird die Signatur geprüft. Dann kann, sofern die Signaturen nicht gefälscht werden können, niemand für die Rekonstruktion eines falschen Geheimnisses sorgen oder die Rekonstruktion des Geheimnisses sehr aufwendig machen. Ersteres wäre der Fall, wenn nur k Teile zur Verfügung stehen und eines davon verfälscht ist. Letzteres wäre der Fall, wenn k+1+v Teile zur Verfügung stehen, wobei k+1 Teile richtig und v Teile verfälscht wären. Da nicht bekannt wäre, welche Teile verfälscht sind, bliebe nichts anderes übrig, als aus allen Mengen mit jeweils k Teilen ein Geheimnis zu rekonstruieren und das zu nehmen, was am häufigsten rekonstruiert wird. Leider gibt es sehr viele Mengen mit k Teilen, ausgewählt aus den zur Verfügung stehenden k+1+v. Aus k Teilen (xj , q(xj )) (j = 1,..,k) kann das Polynom q(x) folgendermaßen berechnet werden (Lagrange-Polynominterpolation [Denn_82 Seite 180]): k mod p (x – xm ) (x j – xm ) k q(x j) ∏ m=1, m≠j q(x) = ∑j=1 Das Geheimnis G erhält man dann als q(0). Alles bisher über Schwellwertschemata Gesagte ging davon aus, daß der Eigentümer des Geheimnisses gutwillig ist, d.h. die n Teile so generiert, daß sich aus ihnen sein Geheimnis rekonstruieren läßt. Lediglich seine Umwelt, insbesondere auch manche Aufbewahrer der n Teile wurden als Angreifer betrachtet. Betrachtet man auch den Generierer der Teile als potentiellen Angreifer, dann kann man an ein Schwellwertschema zusätzliche Anforderungen stellen: 1. konsistentes Ergebnis 2. vorgegebenes Ergebnis Leseempfehlungen Beweisskizze: 1. Das Schwellwertschema liefert bei Kenntnis von lediglich k-1 Teilen (j, q(j)) keinerlei Information über G, da es für jeden Wert von G immer noch genau ein Polynom vom Grad k-1 gibt, das durch die insgesamt k Punkte (j, q(j)) und (0, G) geht. 2. Obige Formel berechnet das richtige Polynom, da es sowohl den richtigen Grad k-1 hat (jeder Produktteil hat den Grad k-1 und durch Summation bleibt dies erhalten) und für jedes Argument xj den Wert q(xj) liefert: Setzt man im Produktteil für x ein xj ein, so ist das Produkt genau 1, wenn der Summationsindex den Wert j hat (denn dann hat jeder einzelne Quotient den Wert 1, also ist ihr Produkt 1) und 0 sonst (denn dann ist ein Faktor 0). Diese 1 multipliziert mit q(xj ) ergibt als Gesamtwert der Summe q(xj). Geschichte der Kryptographie Ein Überblick von 1900 bis 1999 aus deutscher Sicht: Leib_99 Anmerkung: Es ist nicht zwingend, daß die Teile als Werte des Polynoms an den Stellen 1 bis n gewählt werden. Jede andere Wahl von n verschiedenen Stellen (≠0) tut es auch. Lehrbücher der verwendeten mathematischen Grundlagen: Eine echte Einführung in Algebra, aber speziell für Informatiker bzw. mit Hinblick auf Implementierungen und relativ verständlich geschrieben: Lips_81 Sehr elementare Darstellung der Grundlagen der elementaren Zahlentheorie, v.a. für euklidschen Algorithmus u.ä.: Lüne_88 Kurz und nett zu lesen, etwas veraltete Terminologie: ScSc_73 Wenn man die schnellen Algorithmen gern genau wüßte: Knut_97 in enger Verbindung mit Kryptographie: Kran_86, MeOV_97 Ist das Geheimnis groß und möchte man nicht modulo einem großen p rechnen, so zerschneidet man das Geheimnis in mehrere Stücke und führt obiges Schema mit jedem der Stücke durch. Oftmals sollen Geheimnisse nicht nur vertraulich bleiben, sondern sie müssen auch für ihren Eigentümer über lange Zeit verfügbar sein. Möchte sich der Eigentümer eines Geheimnisses G vor seinem Verlust etwa durch höhere Gewalt schützen, andererseits es aber niemand anderem allein zur Aufbewahrung anvertrauen, so gibt der Eigentümer des Geheimnisses n Bekannten jeweils ein unterschiedliches Teil. Verliert er sein Geheimnis, so bittet er k Bekannte, ihm Kopien ihrer Teile zu geben. Aus Lehrbücher der Kryptographie: 93 Vorsicht Falle: p darf nicht in starker Abhängigkeit von G gewählt werden. Also auf keinen Fall: Wähle zu G die nächst größere Primzahl p. Sonst erhält ein Angreifer durch Kenntnis des öffentlich werdenden p schon sehr, sehr viel Information über G.
134 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 133 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 4 Steganographische Grundlagen ausführlicher klassischer Aufbau: Denn_82, DaPr_89, Hors_85 moderner Aufbau, aber sehr knapp: Bras_88 moderner Aufbau, sehr ausführlich und praxisnah: Schn_96 moderner Aufbau, sehr ausführlich mit theoretischer Fundierung: MeOV_97 Steganographie ist die alte Kunst und die junge Wissenschaft vom Verstecken geheimzuhaltender Daten in umfangreicheren, harmlos wirkenden Daten. Bild 4-1 veranschaulicht am Schutzziel Vertraulichkeit die Unterschiede zur Kryptographie. Während der Angreifer bei Verwendung von guter Kryptographie merkt, daß er den Schlüsseltext nicht versteht und folglich vermuten wird, daß gerade vertraulich kommuniziert wird, hält der Angreifer bei Verwendung von guter Steganographie den Stegotext für eine plausible und von ihm voll verstandene Nachricht. Er merkt nicht, daß vertraulich kommuniziert wird. Im dargestellten Beispiel ist die Hülle (das Original-Urlaubsbild Ballon über Savanne) genauso plausibel wie der Stegotext (das leicht modifizierte Urlaubsbild: ein genauso schöner Ballon über einer genauso stimmungsvollen Savanne in gleicher photographischer Qualität). Aktuelle Forschungsliteratur: Journal of Cryptology, Springer-Verlag Heidelberg Tagungsserien Crypto, Eurocrypt, Asiacrypt, Tagungsbände erscheinen in der Serie LNCS des Springer-Verlags Heidelberg The Theory of Cryptography Library: access via URL http://philby.ucsd.edu/cryptolib.html, email should be sent to cryptolib@philby.ucsd.edu Kryptographie: Vertraulichkeit Hinweise auf Standards, Patente, Produkte, Kommentare zu aktuellen Entwicklungen: http://www.rsa.com http://www.rsa.com/rsalabs http://www.itd.nrl.navy.mil/ITD/5540/ieee/cipher/ oder abonnieren unter cipher-request@itd.nrl.navy.mil Schlüssel’ Schlüssel Hinweise auf die rechtliche Situation bzgl. der Benutzung sowie des Exports bzw. Imports von Kryptographie: http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm geheime Nachricht Mfkdosi ghHwgjq%a geheime Nachricht Klartext Schlüsseltext Entschlüsselung Verschlüsselung Klartext Sender Empfänger Angreifer Steganographie: Vertraulichkeit der Vertraulichkeit Schlüssel Schlüssel Hülle* Hülle Stegotext Einbetten Extrahieren Inhalt Inhalt geheime Nachricht Sender Empfänger Angreifer geheime Nachricht Bild 4-1: Kryptographie vs. Steganographie
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22: 30 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 71: 130 A. Pfitzmann: Datensicherheit u
Seite 123 und 124:
234 A. Pfitzmann: Datensicherheit u
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?