Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
180<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
179<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
3. Damit man Freiheiten bei der Organisation der lokalen <strong>und</strong> <strong>in</strong>sbesondere globalen Überlagerung<br />
hat, sollte die Addition kommutativ se<strong>in</strong>.<br />
Damit e<strong>in</strong> Schlüsselaustausch zwischen beliebigen Paaren von Teilnehmerstationen möglich<br />
ist, muß die Addition kommutativ se<strong>in</strong>. Denn anderenfalls gäbe es e<strong>in</strong>e durch die globale<br />
Überlagerungsreihenfolge gegebene l<strong>in</strong>eare Ordnung der von den Teilnehmerstationen gesendeten<br />
Nutzzeichen <strong>und</strong> damit auch der Teilnehmerstationen. Da Schlüsselzeichen nicht mit<br />
Nutzzeichen kommutierten, könnte jede Teilnehmerstation nur mit e<strong>in</strong> bzw. zwei bezüglich der<br />
l<strong>in</strong>earen Ordnung benachbarten Teilnehmerstationen Schlüssel austauschen.<br />
Der Beweis ist also etwas allgeme<strong>in</strong>er als die Def<strong>in</strong>ition des verallgeme<strong>in</strong>erten überlagernden<br />
Sendens – allerd<strong>in</strong>gs gibt es für diese größere Allgeme<strong>in</strong>heit ke<strong>in</strong>e Nutzanwendung. Denn der Hauptsatz<br />
über endliche abelsche Gruppen (vgl. [Waer_67 Seite 9]) besagt, daß jede endliche abelsche<br />
Gruppe als direktes Produkt zyklischer Gruppen geschrieben werden kann. Das direkte Produkt, d.h.<br />
die komponentenweise Ausführung der Addition <strong>in</strong> der jeweiligen zyklischen Gruppe, entspricht aber<br />
genau dem kollateralen, d.h. seriellen oder parallelen Betrieb mehrerer verallgeme<strong>in</strong>erter überlagernder<br />
Sendeverfahren.<br />
deten. Kollisionen s<strong>in</strong>d e<strong>in</strong> übliches Problem bei Verteil-Kanälen mit Mehrfachzugriff, zu dessen<br />
Lösung es e<strong>in</strong>e große Zahl von Zugriffsverfahren gibt. Alle publizierten Zugriffsverfahren s<strong>in</strong>d auf<br />
(analoge) Übertragungs-Kollisionen, z.B. <strong>in</strong> Bussystemen (Bsp. Ethernet), Funk- <strong>und</strong> Satellitennetzen<br />
ausgelegt, bei denen es ke<strong>in</strong> wohldef<strong>in</strong>iertes „Kollisionsergebnis“ gibt. Die „Arbeitsbed<strong>in</strong>gungen“<br />
der Zugriffsverfahren s<strong>in</strong>d beim überlagernden Senden <strong>in</strong> dieser H<strong>in</strong>sicht also wesentlich besser<br />
als bei üblichen Verteil-Kanälen. Allerd<strong>in</strong>gs darf man natürlich nur solche Zugriffsverfahren verwenden,<br />
die die Anonymität des Senders <strong>und</strong> – wenn möglich – auch die Unverkettbarkeit von Sendeereignissen<br />
erhalten. Daneben sollten sie bei zu erwartender Verkehrsverteilung den zur Verfügung stehenden<br />
Kanal günstig nutzen. Beispiele anonymer <strong>und</strong> nichtverkettender Zugriffsverfahren s<strong>in</strong>d das<br />
e<strong>in</strong>fache, aber nicht sehr effiziente Verfahren slotted ALOHA <strong>und</strong> e<strong>in</strong>e für Kanäle mit großer Verzögerungszeit<br />
entworfene, effiziente Reservierungstechnik [Tane_81 Seite 272, Cha3_85].<br />
Vere<strong>in</strong>bart man, daß e<strong>in</strong> Teilnehmer e<strong>in</strong>en Übertragungsrahmen, <strong>in</strong> dem er ohne Kollision gesendet<br />
hat, weiterbenutzen darf <strong>und</strong> andere Teilnehmer <strong>in</strong> diesem Rahmen erst wieder senden dürfen,<br />
wenn er e<strong>in</strong>mal nicht benutzt wurde, so kann man durch die Verwendung mehrerer Übertragungsrahmen<br />
(slots) sehr effizient Kanäle schalten [Höck_85, HöPf_85]. Natürlich ist alles, was über solch<br />
e<strong>in</strong>en Kanal gesendet wird, verkettbar – andererseits werden Kanäle typischerweise für solche Dienste<br />
verwendet, <strong>in</strong> deren Natur dies liegt. Dies wird ausführlich <strong>in</strong> §5.4.9 diskutiert.<br />
Beh. Überlagern bezüglich der konzeliert ausgetauschten Schlüssel zusammenhängende Teilnehmerstationen<br />
jeweils ihre Nachrichten <strong>und</strong> die ihnen bekannten Schlüssel <strong>und</strong> geben nur das<br />
Ergebnis aus, so erfährt e<strong>in</strong> alle Ergebnisse beobachtender Angreifer nur die Summe aller<br />
gesendeten Nachrichten. Letzteres bedeutet, daß für den Angreifer für alle Zufallsvariablen Z<br />
gilt: W(Z|alle Ergebnisse) = W(Z|Summe aller gesendeten Nachrichten).<br />
5.4.5.2 Def<strong>in</strong>ition <strong>und</strong> Beweis der Senderanonymität<br />
Anm. Je nach Vorwissen des Angreifers kennt er damit möglicherweise auch die die Summe bildenden<br />
e<strong>in</strong>zelnen Nachrichten sowie, sofern e<strong>in</strong>zelne Nachrichten mit dem Vorwissen des Angreifers<br />
Rückschlüsse auf ihren Sender zulassen, den Sender dieser Nachrichten. Der Angreifer<br />
erhält aber durch Kenntnis aller Ergebnisse, d.h. der Ausgaben der e<strong>in</strong>zelnen Teilnehmerstationen,<br />
ke<strong>in</strong>e über die Kenntnis ihrer Summe h<strong>in</strong>ausgehende zusätzliche Information. Er<br />
kann sich also das Beobachten der Ausgaben der e<strong>in</strong>zelnen Teilnehmerstationen sparen, da<br />
ihm das ke<strong>in</strong>e zusätzliche Information darüber liefert, welche Teilnehmerstation welche Nachricht<br />
gesendet hat. Gemäß der Begriffsbildung <strong>in</strong> §5.1.2 bleiben die Sender von Nachrichten<br />
also anonym bezüglich des Angreifers <strong>und</strong> des Ereignisses des Sendens.<br />
Nach dieser dem Überblick dienenden Kurzbeschreibung des überlagernden Sendens wird zunächst<br />
die Senderanonymität genau def<strong>in</strong>iert <strong>und</strong> für den allgeme<strong>in</strong>st-möglichen Fall der Überlagerung (beliebige<br />
abelsche Gruppe) bewiesen.<br />
Danach wird gezeigt, wie mittels überlagerndem Empfangens ausgenutzt werden kann, daß Überlagerungs-Kollisionen<br />
e<strong>in</strong>en wohldef<strong>in</strong>ierten <strong>und</strong> für alle am überlagernden Senden beteiligten Stationen<br />
wahrnehmbaren Wert haben. Beides im Gegensatz zu Übertragungs-Kollisionen <strong>in</strong> Bussystemen<br />
(Bsp. Ethernet) <strong>und</strong> Funknetzen <strong>und</strong> nur ersteres auch im Gegensatz zu Satellitennetzen.<br />
E<strong>in</strong>ige Bemerkungen zur Realisierung des Schlüsselaustausches <strong>und</strong> zur Implementierung des<br />
überlagernden Sendens schließen diesen Abschnitt ab.<br />
Bew. O.B.d.A. wird der Beweis im folgenden auf solche Situationen beschränkt, <strong>in</strong> denen die m<br />
Teilnehmerstationen bezüglich der ausgetauschten Schlüssel m<strong>in</strong>imal zusammenhängen107. Selbiges bedeute, daß es für je zwei beliebige Teilnehmerstationen T0, T1 genau e<strong>in</strong>e möglicherweise<br />
leere Folge von Teilnehmerstationen T2 bis Tn gibt, so daß für 1 ≤ i ≤ n gilt: Ti hat<br />
mit T (i+1)mod(n+1) e<strong>in</strong>en Schlüssel ausgetauscht. Gibt es mehrere Folgen, so werden dem<br />
Angreifer weitere Schlüssel mitgeteilt, was ihn nur stärker macht. Er kann dann diese<br />
Schlüssel von den Ausgaben der betroffenen Teilnehmerstationen subtrahieren, wodurch er jeweils<br />
genau die „Ausgabe“ erhält, die im folgenden durch vollständiges Weglassen dieser<br />
Schlüssel entsteht.<br />
Der Beweis selbst wird mit vollständiger Induktion über die Anzahl m der Teilnehmerstationen<br />
geführt.<br />
David Chaum beweist <strong>in</strong> [Cha3_85] für b<strong>in</strong>äres überlagerndes Senden (genauer: unter Ausnutzung<br />
der Körpereigenschaften von GF(2)), daß, solange e<strong>in</strong>e Gruppe von Teilnehmerstationen Schlüssel<br />
nur <strong>in</strong> der beschriebenen Form weitergibt <strong>und</strong> solange diese Gruppe bezüglich der ausgetauschten<br />
Schlüssel zusammenhängend ist, andere an diesem Verfahren Beteiligte auch durch Zusammentragen<br />
all ihrer Information ke<strong>in</strong>e Information darüber erhalten, wer <strong>in</strong>nerhalb der Gruppe sendet. „Bezüglich<br />
der ausgetauschten Schlüssel zusammenhängend“ bedeutet, daß für je zwei beliebige Teilnehmerstationen<br />
T0 , T1 der Gruppe es e<strong>in</strong>e möglicherweise leere Folge von Teilnehmerstationen T2 bis Tn der Gruppe gibt, so daß für 1 ≤ i ≤ n gilt: Ti hat mit T (i+1)mod(n+1) e<strong>in</strong>en Schlüssel ausgetauscht.<br />
Im folgenden wird e<strong>in</strong> vere<strong>in</strong>fachter <strong>und</strong> auf verallgeme<strong>in</strong>ertes überlagerndes Senden erweiterter<br />
Beweis dieses Sachverhaltes gegeben.<br />
Der Beweis verwendet nur, daß die Zeichen <strong>und</strong> die auf ihnen def<strong>in</strong>ierte Addition e<strong>in</strong>e abelsche<br />
Gruppe bilden, nicht aber, daß die Addition nach der Numerierung der Zeichen modulo der Alphabetgröße<br />
durchgeführt wird (mit anderen Worten: daß es sich um e<strong>in</strong>e zyklische Gruppe handelt). Die<br />
dadurch beim verallgeme<strong>in</strong>erten überlagernden Senden implizit gegebene R<strong>in</strong>gstruktur wird für den<br />
Beweis nicht verwendet, so daß er so allgeme<strong>in</strong> wie irgend wünschenswert ist:<br />
1. Damit e<strong>in</strong>e Station ke<strong>in</strong> Zeichen senden kann, muß es e<strong>in</strong> neutrales Element geben.<br />
2. Damit sich die Schlüssel nach der Überlagerung paarweise wegheben, muß es zu jedem<br />
Zeichen e<strong>in</strong> <strong>in</strong>verses geben.<br />
107 Anschaulich bedeutet dies, daß die Teilnehmerstationen bezüglich der ausgetauschten Schlüssel zusammenhängen,<br />
aber ke<strong>in</strong> Schlüssel mehr entfernt werden kann, ohne daß danach m<strong>in</strong>destens 2 Teilnehmerstationen nicht mehr<br />
zusammenhängen. Für den aus den Teilnehmerstationen als Knoten <strong>und</strong> Schlüsseln als Kanten gebildeten Graphen<br />
bedeutet dies: Er ist zyklenfrei.