Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

140 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 139 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Danach kann dann der geheime Diffie-Hellman Sitzungsschlüssel auch vom Empfänger berechnet und als steganograhischer Schlüssel benutzt werden. Einbettung soll nicht stören, d.h. Veränderungen der Hülle (dies ist das zu schützende Werk) sollen sinnlich nicht wahrnehmbar sein Die Hülle (engl.: cover) darf drastisch geändert, im Extremfall synthetisch erzeugt werden 4.1.3 Grundsätzliches über Sicherheit ZFPW_97 möglichst viel einbetten gegebene Menge (100 bis 1000 Bit) möglichst robust einbetten 4.1.3.1 Angriffsziele und -Erfolge Ziel Angreifer: erkennen, ob eingebettet wurde watermark bzw. fingerprint gezielt ändern, z.B. austauschen, zerstören, generieren 4.1.3.2 Angriffstypen 4.1.3.3 Stegoanalyse führt zu verbesserter Steganographie Wissenschaftlich interessant (und für die Regulierbarkeit von Steganographie bedeutsam, vgl. §9) ist, daß jedes Verfahren zur Entdeckung von Steganographie unmittelbar zur Verbesserung des Stegosystems verwendet werden kann. Dieser bereits in [MöPS_94 Kap. 4.3.2] angedeutete Sachverhalt wird nun genauer dargestellt und untersucht. Hierbei werden hauptsächlich steganographische Konzelationssysteme betrachtet. Zuerst wird eine Konstruktion für das Verbergensmodell, d.h. für S und S-1 angeben. Dabei wird die Umkehroperation nicht geändert – denn sie hat schon beim nicht verbesserten Stegosystem die Aufgabe, nur dann ein emb nach außen zu geben, wenn tatsächlich eins eingebettet wurde. Um dies mit genügend großer Wahrscheinlichkeit richtig zu entscheiden, benötigt die Umkehroperation genügend Redundanz. Danach werden Konstruktionen für das Einbettungsmodell, d.h. für E und E-1 entwickelt. Hier muß jeweils auch die Umkehroperation geändert werden. Parameter: stego unverändert stego kann vom Angeifer deutlich, allerdings nicht zu deutlich (sonst Verlust des Werkes) verändert werden das watermark bzw. der fingerprint kann bei beiden Parteien Eingabeparameter sein ebenso kann das unveränderte Werk (dies kann sowohl das Werk ohne wie auch mit eingebetteter Urheberinformation oder auch beides sein) bei beiden Parteien Eingabeparameter sein Überdeckung der Funktionalität des kryptographischen Systems: ja, da mit der Vertraulichkeit der Existenz der nein, da zwar Urheberschaft erkennbar, nicht Nachricht immer auch die Vertraulichkeit aber kleine Veränderungen ihres Inhalts gegeben ist 98 4.1.3.3.1 Konstruktion für S und S -1 4.1.2 Eine Anmerkung zum Schlüsselaustausch: Steganographie mit öffentlichen Schlüsseln Seien S der Algorithmus „Verbergen“ und S-1 die Umkehroperation zu S, d.h. ein Algorithmus, der die eingebetteten Daten emb extrahiert. Sofern nichts eingebettet wurde, liefert S-1 das Ergebnis leer. Sei R ein Ratealgorithmus, der bei Eingabe von stego mit überwältigender Wahrscheinlichkeit semirichtig rät, ob in stego etwas verborgen ist oder nicht. Hierbei heiße semi-richtig: Wenn R „etwas_verborgen“ rät, stimmt dies. Aber „nichts_verborgen“ kann auch bedeuten, daß etwas verborgen ist, aber R dies nicht erkennt. 99 symmetrische Steganographie + Diffie-Hellman Schlüsselaustausch, vgl. §3.9.1 Bei Verwendung von PGP ab Version 5 sollten Diffie-Hellman Schlüssel mit der Einstellung „Faster key generation“ erzeugt werden. Dann wird für alle Teilnehmer ein gemeinsames p und g verwendet. Dann kann hieraus ein verbesserter Algorithmus „Verbergen“ S' und seine Umkehroperation S'-1 folgendermaßen gewonnen werden: function S'(in: Source, emb; out: stego); stego := S(Source, emb); if R(stego) = etwas_verborgen then stego := S(Source, leer); Die Umkehroperation S' -1 sei exakt S -1 . In der Notation wurde der Stegoschlüssel weggelassen, da es für die Konstruktion auf ihn nicht ankommt, ja nicht einmal darauf, ob symmetrische oder – falls es sie denn geben sollte – asymmetrische Steganographie verwendet wird. Ebenso ändert sich nichts, wenn dem Ratealgorithmus R Sollten die Teilnehmer kein gemeinsames p und g verwenden, so ist Diffie-Hellman Schlüsselaustausch für Steganographie nicht brauchbar, während er für Kryptographie durchaus auch so brauchbar ist, vgl. Aufgabe 3-23 c). Übrig bleibt für Steganographie dann nur das, was in [Ande4_96, AnPe_98 Seite 480] Steganographie mit öffentlichen Schlüsseln genannt wird (vgl. Aufgabe 4-5): Zunächst wird ohne Verwendung eines steganographischen Schlüssels der mit dem öffentlichen kryptographischen Konzelationsschlüssels des Partner verschlüsselte steganographische Sitzungsschlüssel eingebettet und übermittelt. Für diese Verschlüsselung eines steganographischen Sitzungsschlüssels kann dann auch der Diffie-Hellman Schlüsselaustausch ohne gemeinsames p und g (vgl. Aufgabe 3-23 c)) verwendet werden: Der Sender generiert unter Verwendung von p und g des Empfängers für die Sitzung seinen öffentlichen Parameter und bettet diesen ohne Verwendung eines steganographischen Schlüssels ein. 99 Solch ein semi-richtiger Ratealgorithmus ist genau das, was vor Gericht vorgelegt werden müßte, um die Verwendung von verbotener Steganographie zu beweisen. Er muß Steganographie nicht unbedingt erkennen – wenn er aber behauptet, Steganographie sei verwendet worden, dann muß diese Behauptung stimmen. Andernfalls wird kein Richter diesem Algorithmus vertrauen. 98 Manche Autoren definieren sogenannte zerbrechliche Watermarks, d.h. Watermarks ohne Robustheit, zu genau dem Zweck, Änderungen des Werkes zu erkennen. Da dieses Schutzziel aber auch ohne Änderung des Werkes durch kryptographische Authentikationssysteme zu erreichen ist, halte ich zerbrechliche Watermarks für ziemlich überflüssig.
142 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 141 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Forschungsfragen: Erreicht man, indem man die Konstruktion mit einem Stegosystem beginnt, das allen Indeterminismus nutzt, durch Iteration der Konstruktion ein sicheres Stegosystem maximaler Kapazität? (Hierbei darf die Iteration des Aufrufs des Stegosystems zur Übertragung von Information und die Iteration der Konstruktion zur Verbesserung des Stegosystems nicht verwechselt werden.) noch Source als zusätzlicher Eingabe-Parameter gegeben wird, von einem stego-Angriff also zu einem Source-stego-Angriff übergegangen wird. Ebenso ändert es nichts, wenn R nicht nur das aktuelle stego, sondern alle bisherigen stegos (sowie ggf. auch alle bisherigen Sources) als Eingabe- Parameter erhält. 4.1.3.3.2 Konstruktionen für E und E -1 Für die verborgene Übertragung von Information wird das Stegosystem (also S und S-1 bzw. S' und S'-1 ) in einer Schleife solange aufgerufen, bis alle verborgen zu übertragende Information tatsächlich übertragen wurde. Hierfür muß S' noch einen zusätzlichen Ausgabeparameter erhalten, der anzeigt, ob die Übertragung geklappt hat oder ob es mit demselben Wert für emb (aber einem anderen für Source) noch mal versucht werden muß. Damit auch einzelne Bits eingebettet werden können, ist das Ziel von E und E-1 schwächer als das von S und S-1 , wo S-1 entscheiden soll, ob etwas verborgen wurde und nur dann das emb nach außen geben. Dazu muß emb von S so redundant codiert werden, daß es mindestens einige 10 Bit umfaßt. Beh. Für das verbesserte Stegosystem S' und S' -1 gilt folgendes: 1. Der Empfänger empfängt nur die Daten emb, die der Sender sendet. Das Ziel von E und E-1 ist: E soll emb einbetten, wenn dies unerkennbar geschehen kann. E-1 soll erkennen, ob etwas eingebettet werden konnte. Falls etwas eingebettet werden konnte, soll das potentiell eingebettete emb nach außen gegeben werden. 2. Die Daten emb werden besser versteckt als durch das ursprüngliche Stegosystem. 3. Die Nutzbandbreite des verbesserten Stegosystems ist kleiner als die des ursprünglichen. Diese Schnittstelle von E und E-1 kann effizient genutzt werden: Wenn der Sender eine Nachricht geheim zu übertragen hat, dann bettet er sie sukzessive, d.h. wenn immer möglich, ein – sonst tut er nichts. Der Empfänger erhält folglich jede geheim übertragene Nachricht als kompakten Bitstring, d.h. ohne Unterbrechungen durch bedeutungslose Bitstrings. Hat der Sender nicht fortlaufend Nachrichten geheim zu übertragen, findet der Empfänger zwischen Nachrichten bedeutungslose Bitstrings. 4. Ist die Nutzbandbreite des ursprünglichen Stegosystems größer 0 und umfaßt es Nichtdeterminismus100, so ist auch die Nutzbandbreite des verbesserten Stegosystems größer 0 und es umfaßt den gleichen Nichtdeterminismus. Dann erhält der Empfänger die Daten emb, die der Sender senden will, nach endlich vielen Versuchen. 5. Sofern der Aufwand für das ursprüngliche Stegosystem und für R akzeptabel ist, ist es auch der Aufwand für das verbesserte Stegosystem. Konkret betrachten wir im folgenden den Fall, daß emb jeweils ein Bit ist. Damit können sowohl Sender wie auch Empfänger effizient prüfen, ob jeweils alle möglichen Werte von emb eingebettet – und damit alle Nachrichten damit kompakt übertragen – werden können. Wie in §4.1.3.3.1 sei R ein Ratealgorithmus, der bei Eingabe von stego mit überwältigender Wahrscheinlichkeit semi-richtig rät, ob in stego etwas eingebettet ist oder nicht. E' sei der verbesserte Algorithmus „Einbetten“ und E'-1 seine Umkehrfunktion. Bew. 1. Hat das ursprüngliche Stegosystem diese Eigenschaft, so hat sie auch das verbesserte: Der Sender verhält sich entweder wie beim ursprünglichen Stegosystem, dann ist Empfangen genau gleich. Oder der Sender sendet ein stego, in das nichts eingebettet wurde. Auch das muß das ursprüngliche Stegosystem verkraften. Die naheliegende Konstruktion (korrekt nur für Einbettungsposition unabhängig vom einzubettenden Bit): Der Sender prüft, ob E(cover, 0) und E(cover, 1) jeweils akzeptable, d.h. aus seiner Sicht für einen Stegoanalytiker die Einbettung nicht verratende Werte für Stegotext sind und bettet nur dann ein, d.h. sendet nur dann stego := E(cover, emb) statt cover. Eine Implementierung des verbesserten Einbettungsalgorithmusses E' mit möglichst wenig Aufrufen von E und R lautet: function E'(in: cover, emb; out: stego); stego := E(cover, emb); stego_alternativ := E(cover, not(emb)); if R(stego) = etwas_verborgen or R(stego_alternativ) = etwas_verborgen then stego := cover; Der Empfänger prüft, ob das empfangene stego ein akzeptabler Wert ist101 und berechnet ggf. emb := E-1 (stego). Nun muß der Empfänger noch prüfen, ob auch der andere mögliche Wert des Bits, not(emb), hätte eingebettet werden können. Leider kennt der Empfänger cover nicht und kann folglich nicht E(cover, not(emb)) berechnen. Stattdessen berechnet er E(stego, not(emb)). Gilt für das Stegosystem die Gleichung 2. Da stego nur vom ursprünglichen Stegosystem gebildet wird, versteckt das verbesserte mindestens so gut. Da angenommen war, daß das ursprüngliche Stegosystem noch hin und wieder ein stego generierte, bei dem die Einbettung von R erkannt werden konnte, dies beim verbesserten Stegosystem aber nicht mehr vorkommt, versteckt es die Daten besser. 3. Dies gilt nicht für jeden Einzelfall, aber wohl im Mittel. 4. 5. Kritische Anmerkungen zu den einzelnen Punkten: 2. Es ist alles ganz prima, solange R auf einzelnen Teilen von stego arbeitet, so daß iteriert werden kann. Ist dies nicht der Fall, etwa weil auch Abhängigkeiten zwischen unterschiedlichen Teilen betrachtet werden müssen, dann ist nicht mal mehr ein „mindestens“ zu beweisen, geschweige denn ein „besser“. Trotzdem glaube ich, daß die Aussagen „im Mittel“ stimmen. 3. Entsprechendes gilt für die Bandbreite. 101 Wenn das Stegosystem gut ist, sollte dies immer der Fall sein – unabhängig davon, ob eingebettet wurde oder nicht. 100 Nichtdeterminismus aus Sicht des Angreifers ist notwendig, damit für ihn unerkennbar geändert und damit ihm gegenüber verborgen werden kann. Umfaßt das Stegosystem Nichtdeterminismus, dann existiert insbesondere auch aus Sicht des Angreifers Nichtdeterminismus und damit die Möglichkeit, unerkennbar zu ändern und zu verbergen. Kurzum: Das Stegosystem ist dann nicht zu dumm gemacht.
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26: 38 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 75: 138 A. Pfitzmann: Datensicherheit u
Seite 127 und 128:
242 A. Pfitzmann: Datensicherheit u
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?