Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
182<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
181<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
m-1 Teilnehmerstationen<br />
1<br />
T<br />
S i→m<br />
Ti Ai = Ni+..+Si→m T m<br />
2<br />
T<br />
A m = N m–S i→m<br />
T<br />
m-1<br />
Unter e<strong>in</strong>er Nachrichtenkomb<strong>in</strong>ation wird die Zuordnung von je e<strong>in</strong>er Nachricht zu jeder Teilnehmerstation,<br />
unter e<strong>in</strong>er Schlüsselkomb<strong>in</strong>ation die Zuordnung von Werten zu allen zwischen<br />
Teilnehmerstationen konzeliert ausgetauschten <strong>und</strong> dem Angreifer unbekannten Schlüsseln<br />
verstanden. Für jedes m wird bewiesen, daß es zu jeder die Summe aller gesendeten Nachrichten<br />
ergebenden Nachrichtenkomb<strong>in</strong>ation genau e<strong>in</strong>e Schlüsselkomb<strong>in</strong>ation gibt, so daß<br />
Nachrichtenkomb<strong>in</strong>ation <strong>und</strong> Schlüsselkomb<strong>in</strong>ation mit den Ausgaben aller Teilnehmerstationen<br />
verträglich s<strong>in</strong>d. Da zusätzlich die Schlüssel <strong>und</strong> damit auch die Schlüsselkomb<strong>in</strong>ationen<br />
zufällig <strong>und</strong> gemäß e<strong>in</strong>er Gleichverteilung generiert werden, liefert die Beobachtung der<br />
Ausgaben der Teilnehmerstationen dem Angreifer ke<strong>in</strong>e über die Summe aller gesendeten<br />
Nachrichten h<strong>in</strong>ausgehende Information gemäß den Shannon’schen Def<strong>in</strong>itionen [Shan_48,<br />
Sha1_49].<br />
Bild 5-11: Veranschaulichung des Induktionsschrittes<br />
E<strong>in</strong> von Ti generierter <strong>und</strong> Tj konzeliert mitgeteilter Schlüssel werde mit Si→j bezeichnet, die<br />
von Ti gesendete Nachricht mit Ni <strong>und</strong> ihre Ausgabe mit Ai , wobei nach der Beschreibung des<br />
Hiermit ist bewiesen, daß das verallgeme<strong>in</strong>erte (<strong>und</strong> damit natürlich auch das b<strong>in</strong>äre) überlagernde<br />
Senden perfekte <strong>in</strong>formationstheoretische Anonymität des Senders <strong>in</strong>nerhalb der Gruppe schafft, die<br />
über re<strong>in</strong> zufällig gewählte <strong>und</strong> <strong>in</strong> perfekter <strong>in</strong>formationstheoretischer Konzelation garantierender<br />
Weise ausgetauschte Schlüssel zusammenhängt.<br />
Ebenso s<strong>in</strong>d Nachrichten über das Senden <strong>in</strong> ke<strong>in</strong>er Weise verkettbar, solange wir E<strong>in</strong>flüsse des<br />
Mehrfachzugriffsverfahrens ignorieren, vgl. §5.4.5.4.1 <strong>und</strong> §5.4.9. Überlagerndes Senden ermöglicht<br />
also auch perfekte <strong>in</strong>formationstheoretische Unverkettbarkeit von Sendeereignissen. Erleidet e<strong>in</strong>e<br />
Nachricht e<strong>in</strong>e Überlagerungs-Kollision, so muß sie allerd<strong>in</strong>gs, bevor sie erneut gesendet wird, neu<br />
<strong>und</strong> damit anders (Ende-zu-Ende-)verschlüsselt werden – anderenfalls könnte e<strong>in</strong> Angreifer bei genügend<br />
langen Nachrichten beispielsweise schließen, daß Nachrichten, deren Summe vorher schon<br />
e<strong>in</strong>mal gesendet wurde, wohl nicht von der gleichen Teilnehmerstation gesendet wurden, da diese<br />
anderenfalls Übertragungsbandbreite des DC-Netzes verschwenden würde, <strong>in</strong>dem sie Überlagerungs-<br />
Kollisionen produziert.<br />
David Chaums Beweis für das b<strong>in</strong>äre <strong>und</strong> der hier gegebene für das verallgeme<strong>in</strong>erte überlagernde<br />
Senden gelten nicht nur bei beobachtenden, sondern auch bei koord<strong>in</strong>ierten verändernden Angriffen –<br />
im hier gegebenen Beweis z.B. kommt das Verhalten der Angreiferstationen gar nicht vor, ihr<br />
Verhalten ist also beliebig. (Nicht protokollgemäßes Verhalten der Angreiferstationen stellt „nur“<br />
e<strong>in</strong>en Angriff auf die Diensterbr<strong>in</strong>gung, d.h. Verfügbarkeit, dar, was <strong>in</strong> §5.4.7 behandelt wird.)<br />
Jedoch betrachten beide Beweise jeweils nur die Anonymität des Senders. Ist das Senden e<strong>in</strong>er<br />
Nachricht N abhängig vom Empfangen vorhergehender Nachrichten Ni , so kann e<strong>in</strong> verändernder<br />
Angriff auf die Anonymität des Empfängers e<strong>in</strong>er der Ni (vgl. §5.4.1) trotz noch so perfekten<br />
Schutzes des Sendens den Sender von N identifizieren. Wie bereits <strong>in</strong> §5.4.1 erwähnt kann dieses<br />
Problem durch geeignetes E<strong>in</strong>beziehen der verteilten Nachrichten <strong>in</strong> die Schlüsselgenerierung selbst<br />
<strong>in</strong>nerhalb der <strong>in</strong>formationstheoretischen Modellwelt perfekt gelöst werden [Waid_90, WaPf1_89].<br />
S j→ i<br />
verallgeme<strong>in</strong>erten überlagernden Sendens gilt:<br />
Ai = Ni + ∑Si→ j – ∑<br />
j j<br />
Induktionsanfang: m = 1<br />
Die Behauptung gilt trivialerweise, da der Angreifer genau die Ausgabe der e<strong>in</strong>zigen Teilnehmerstation<br />
erfährt.<br />
Induktionsschritt von m – 1 auf m:<br />
Da die Teilnehmerstationen bezüglich der ausgetauschten Schlüssel m<strong>in</strong>imal zusammenhängen,<br />
gibt es stets e<strong>in</strong>e Teilnehmerstation, die nur mit e<strong>in</strong>er anderen Teilnehmerstation durch<br />
e<strong>in</strong>en ausgetauschten Schlüssel verb<strong>und</strong>en ist. Erstere werde o.B.d.A. mit Tm , letztere mit Ti mit 1 ≤ i ≤ m–1 <strong>und</strong> der Schlüssel o.B.d.A. mit Si→m bezeichnet (vgl. Bild 5-11).<br />
Ti bildet Ni <strong>und</strong> Ai = Ni +..+Si→m , Tm bildet Nm <strong>und</strong> Am = Nm –Si→m .<br />
Der Angreifer beobachtet das Senden von A1 , A2 ,.., Am .<br />
Sei N' = (N'1, N'2,.., N'm) e<strong>in</strong>e beliebige Nachrichtenkomb<strong>in</strong>ation, deren Summe gleich<br />
der Summe aller gesendeten Nachrichten ist, d.h. N'1 +N'2 +..+N'm = N1 +N2 +..+Nm (=<br />
A1 +A2 +..+Am ).<br />
Es muß nun gezeigt werden, daß es zur Nachrichtenkomb<strong>in</strong>ation N' genau e<strong>in</strong>e passende<br />
Schlüsselkomb<strong>in</strong>ation S' gibt. Der zwischen Ti <strong>und</strong> Tm ausgetauschte passende Schlüssel<br />
S'i→m hat wegen Am = Nm –Si→m den Wert S'i→m = N'm –Am .<br />
Der Rest der passenden Schlüsselkomb<strong>in</strong>ation S' wird wie <strong>in</strong> der Induktionsvoraussetzung<br />
bestimmt, wobei hierfür als Ausgabe von Ti der Wert Ai –S'i→m verwendet wird. Die<br />
Induktionsvoraussetzung ist anwendbar, da die restlichen m-1 Teilnehmerstationen bezüglich<br />
der restlichen Schlüssel wiederum m<strong>in</strong>imal zusammenhängen.<br />
5.4.5.3 Empfängeranonymität durch Knack-Schnapp-Verteilung<br />
Das Ziel der Knack-Schnapp-Verteilung ist, die Nachrichtenübertragung zu stoppen, sobald zwei<br />
nichtangreifende Teilnehmer <strong>in</strong> e<strong>in</strong>er R<strong>und</strong>e des DC-Netzes unterschiedliche Zeichen als globales<br />
Überlagerungsergebnis erhalten. 108<br />
108 Gemäß der Gliederung von §5.4 nach den Schutzzielen „Schutz des Empfängers“, „Schutz des Senders“ <strong>und</strong> „Schutz<br />
der Kommunikationsbeziehung“ gehört dies nicht unter „Schutz des Senders“, sondern unter „Schutz des<br />
Empfängers“, also <strong>in</strong> §5.4.1.1. Dort wäre dies Verfahren, da es auf dem Senderanonymitätsverfahren „Überlagerndes<br />
Senden“ beruht, allerd<strong>in</strong>gs unverständlich. Deshalb wird es hier beschrieben.