Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
186<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
185<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
5.4.5.3.3 Probabilistische Knack-Schnapp-Schlüsselgenerierung<br />
t-1 b t- k • I j k<br />
K ji t := a t + ∑k=1<br />
E<strong>in</strong>e wesentlich effizientere Realisierung der Knack-Schnapp-Schlüsselgenerierung erhält man, wenn<br />
man die Forderung KS etwas abschwächt: Inkonsistente Verteilung muß nicht mit der Wahrsche<strong>in</strong>lichkeit<br />
1 bis <strong>in</strong> alle Ewigkeit stören, sondern nur mit der Wahrsche<strong>in</strong>lichkeit p (z.B. 1- 10-50 ) die<br />
nächsten r R<strong>und</strong>en (z.B. r = 10100 ). Für praktische Zwecke dürfte dies ausreichen.<br />
Wie dies genau geht, steht <strong>in</strong> [WaPf_89], benötigt werden pro R<strong>und</strong>e zwei Additionen <strong>und</strong> zwei<br />
Multiplikationen im Körper, der allerd<strong>in</strong>gs groß gewählt werden muß. {Wie e<strong>in</strong>e der beiden teuren<br />
Multiplikationen durch e<strong>in</strong>e billige Addition ersetzt werden kann, wodurch der Aufwand der probabilistischen<br />
Knack-Schnapp-Schlüsselgenerierung näherungsweise halbiert wird, steht <strong>in</strong> [LuPW_91<br />
§2.1].}<br />
Sendet jede Teilnehmerstation nach spätestens s-1 Zeichen wieder e<strong>in</strong> eigenes Nutzzeichen (siehe<br />
vorangehender Abschnitt), können s Schlüsselzeichen bu zyklisch verwendet werden.<br />
Lemma 2 Das durch Gleichung (1) def<strong>in</strong>ierte Schlüsselgenerierungsschema erfüllt die zwei obigen<br />
Bed<strong>in</strong>gungen ÜS <strong>und</strong> KS.<br />
Bew. Da a t ∈ R F <strong>und</strong> da ∑ := K ij t - a t unabhängig von a t ist, ist Kij t ∈R F.<br />
Sei ε ij s = 0 für alle s < t. Dann ist offensichtlich δij t = 0 <strong>und</strong> die Bed<strong>in</strong>gung ÜS ist erfüllt.<br />
Nun sei s die erste R<strong>und</strong>e mit ε s<br />
ij ≠ 0. Der E<strong>in</strong>fachheit halber sei εu := εij<br />
u <strong>und</strong> δu := δij<br />
u . Die<br />
Differenzen δu werden nach dem folgenden System l<strong>in</strong>earer Gleichungen gebildet:<br />
δu = 0 für u = 1, …, s<br />
5.4.5.4 Überlagerndes Empfangen<br />
ε s 0 … 0 0<br />
ε s+1 ε s … 0 0<br />
•<br />
… …………<br />
=<br />
δs+1 δs+2 …<br />
δt-1 Die Bandbreite des DC-Netzes kann erheblich besser genutzt werden, wenn die Teilnehmerstationen<br />
nutzen, daß wer immer das globale Überlagerungsergebnis ü von n gleichzeitig überlagernd gesendeten<br />
Nachrichten sowie n-1 davon e<strong>in</strong>zeln kennt, die ihm noch fehlende Nachricht durch Überlagerung<br />
von ü mit den n-1 ihm e<strong>in</strong>zeln bekannten Nachrichten erhalten kann. Dieses überlagernde<br />
Empfangen kann global, d.h. alle Teilnehmerstationen überlagern gleich <strong>und</strong> empfangen so<br />
dasselbe, oder paarweise, d.h. genau zwei Teilnehmerstationen können überlagern, geschehen:<br />
⎠ ⎟⎟⎟⎞<br />
b1 b2 …<br />
bt-s-1 bt-s ⎝ ⎜⎜⎜⎛<br />
⎠ ⎟⎟⎟⎞<br />
εt-2 εt-3 … εs 0<br />
εt-1 εt-2 … εs+1 εs ⎝ ⎜⎜⎜⎛<br />
⎠ ⎟⎟⎟⎞<br />
δ t<br />
⎝ ⎜⎜⎜⎛<br />
Da εs ≠ 0 ist, ist die Matrix regulär <strong>und</strong> def<strong>in</strong>iert e<strong>in</strong>e bijektive Abbildung. Da b1 ,...,bt-s∈R F, s<strong>in</strong>d<br />
δs+1 ,...,δt gleichmäßig <strong>und</strong> unabhängig <strong>in</strong> F verteilt. Die Unabhängigkeit aller K 1<br />
ij , …, Kijt <strong>und</strong><br />
δs+1 , …, δt folgt aus der Unabhängigkeit aller a1 , …, at <strong>und</strong> δs+1 , …, δt .<br />
Beim globalen überlagernden Empfangen speichern alle Teilnehmerstationen nach e<strong>in</strong>er Überlagerungs-Kollision<br />
diese (zunächst) nicht verwertbare Nachricht ab, so daß bei n kollidierten Nachrichten<br />
nur n-1 noch e<strong>in</strong>mal gesendet werden müssen: die letzte Nachricht ergibt sich durch Subtraktion<br />
(modulo Alphabetgröße) der n-1 Nachrichten von der (zunächst) nicht verwertbaren Nachricht.<br />
Empfangen die Teilnehmerstationen global überlagernd, so verschwendet e<strong>in</strong>e Teilnehmerstation,<br />
die h<strong>in</strong> <strong>und</strong> wieder mehrere Nachrichten gleichzeitig überlagert <strong>und</strong> alle bis auf e<strong>in</strong>e noch e<strong>in</strong>mal e<strong>in</strong>zeln<br />
sendet, ke<strong>in</strong>e Bandbreite des DC-Netzes, so daß dies ohne weiteres zulässig <strong>und</strong> allgeme<strong>in</strong> bekannt<br />
se<strong>in</strong> kann. Dadurch wird der obige Schluß, daß kollidierte Nachrichten nicht von derselben<br />
Teilnehmerstation stammen, falsch, so daß das überlagernde Empfangen trotz der Effizienzsteigerung<br />
Sendeereignisse bei geeignet gewählten Wahrsche<strong>in</strong>lichkeiten für das gleichzeitige Überlagern von<br />
mehreren Nachrichten <strong>in</strong>formationstheoretisch unverkettbar läßt. Zusätzlich zur besseren Nutzung der<br />
Bandbreite des DC-Netzes spart das globale überlagernde Empfangen auch noch das neu <strong>und</strong> damit<br />
anders (Ende-zu-Ende-)Verschlüsseln von kollidierten Nachrichten.<br />
Der zusätzliche Aufwand dieses Schlüsselgenerierungsschemas besteht <strong>in</strong><br />
• den <strong>in</strong>sgesamt 2•tmax - 1 <strong>in</strong> Konzelation <strong>und</strong> Authentizität garantierender Weise zwischen<br />
jedem <strong>in</strong> G direkt verb<strong>und</strong>enen Teilnehmerstationenpaar Ti <strong>und</strong> Tj ausgetauschten Schlüsselzeichen<br />
at , bt (anstatt nur tmax für normales überlagerndes Senden),<br />
• der Speicherung aller tmax-1 erhaltenen globalen Überlagerungszeichen <strong>und</strong><br />
• den jeweils t-1 Additionen <strong>und</strong> Multiplikationen (im Körper), um die Schlüssel für R<strong>und</strong>e t zu<br />
berechnen.<br />
Aus letzterem folgt, daß das Schema durchschnittlich jeweils tmax / 2 Additionen <strong>und</strong> Multiplikationen<br />
benötigt. Deshalb ist das Schema praktisch nur von ger<strong>in</strong>ger Verwendbarkeit.<br />
Gibt es ke<strong>in</strong>e zusätzliche Kommunikation zwischen Ti <strong>und</strong> Tj über ihren momentanen Zustand, so<br />
ist das Schema optimal bezüglich der Zahl der ausgetauschten Schlüsselzeichen <strong>und</strong> des zusätzlich<br />
benötigten Speichers. Dies ist <strong>in</strong> [WaPf_89 Seite 13f] gezeigt.<br />
Paarweises überlagerndes Empfangen ist dann möglich, wenn sich zwei möglicherweise vollständig<br />
anonyme Teilnehmerstationen (etwa mittels e<strong>in</strong>es anonymen Reservierungsschemas, vgl. §5.4.5.4.3)<br />
mit allen anderen am überlagernden Senden Beteiligten darauf gee<strong>in</strong>igt haben, daß <strong>und</strong> wann beide<br />
exklusives Senderecht haben: Obwohl beide gleichzeitig senden, können beide, <strong>in</strong>dem sie je das von<br />
ihnen Gesendete mit dem globalen Überlagerungsergebnis überlagern, empfangen, was der andere<br />
gesendet hat (Bild 5-12). Dies kann für zwei Zwecke genutzt werden:<br />
Senden beide Teilnehmerstationen je e<strong>in</strong>e exklusiv für die andere Teilnehmerstation bestimmte<br />
Nachricht, so wird die Bandbreite des DC-Netzes doppelt so gut wie mit den <strong>in</strong> [Cha3_85, Chau_88,<br />
Pfi1_85] beschriebenen Zugriffsverfahren genutzt, beispielsweise kann <strong>in</strong> der Bandbreite e<strong>in</strong>es<br />
Verteil-Simplex-Kanals e<strong>in</strong> Punkt-zu-Punkt-Duplex-Kanal untergebracht werden.<br />
Sendet e<strong>in</strong>e der beiden Teilnehmerstationen e<strong>in</strong>en re<strong>in</strong> zufällig generierten Schlüssel, so kann sie<br />
von der anderen e<strong>in</strong>e Nachricht <strong>in</strong> perfekter <strong>in</strong>formationstheoretischer Konzelation erhalten, obwohl<br />
beide Teilnehmerstationen vore<strong>in</strong>ander vollständig anonym se<strong>in</strong> können, wenn das zugr<strong>und</strong>eliegende<br />
Das Schema zur determ<strong>in</strong>istischen Knack-Schnapp-Schlüsselgenerierung wird verwendbar, wenn<br />
man die Summen <strong>in</strong> Gleichung (1) jeweils nicht bei 1, sondern für e<strong>in</strong> festes s jeweils bei t-s<br />
beg<strong>in</strong>nen läßt. Hierbei muß s so gewählt werden, daß jede Teilnehmerstation spätestens nach s-1 von<br />
anderen gesendeten Nutzzeichen wieder e<strong>in</strong> eigenes sendet, daß der Angreifer nicht mit genügend<br />
großer Wahrsche<strong>in</strong>lichkeit raten kann. Erhält sie als globales Überlagerungsergebnis ihr Nutzzeichen<br />
(was bei e<strong>in</strong>er Störung durch <strong>in</strong>konsistente Verteilung <strong>in</strong> e<strong>in</strong>er der letzten s R<strong>und</strong>en niemand erfahren<br />
hätte), dann gab es <strong>in</strong> den zurückliegenden s R<strong>und</strong>en mit entsprechender Wahrsche<strong>in</strong>lichkeit ke<strong>in</strong>e<br />
<strong>in</strong>konsistente Verteilung. Da bei konsistenter Verteilung der Angreifer nichts über die bu erfährt, kann<br />
man sie nach s R<strong>und</strong>en jeweils wiederverwenden. Dadurch wird nicht nur die Zahl der Körperoperationen<br />
reduziert, sondern auch die Zahl der nötigen Schlüsselzeichen. Man kann also durch<br />
geeignete Wahl von s e<strong>in</strong> leidlich praktikables Schema erhalten.<br />
{Wie der Aufwand der determ<strong>in</strong>istischen Knack-Schnapp-Schlüsselgenerierung näherungsweise<br />
halbiert werden kann, steht <strong>in</strong> [LuPW_91 §2.2].}