Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

184 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 183 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Authentizität garantierender Weise ausgetauscht werden müssen, im Vergleich zu normalem überlagerndem Senden verdoppelt. Handelt es sich um ein physisches Verteilnetz109 , kann die Zahl der Testnachrichten auf O(n) reduziert werden, indem statt eines Authentikationscodes ein digitales Signatursystem verwendet wird [DiHe_76, GoMR_88]. Das resultierende Schema ist natürlich höchstens komplexitätstheoretisch sicher. Entdeckt ein nichtangreifender Teilnehmer Ti eine solche Inkonsistenz, ist das Stoppen der Nachrichtenübertragung leicht: Ti stört einfach das überlagernde Senden in den nächsten Runden, indem er sein Ausgabezeichen zufällig und gleichverteilt wählt. Damit ist das globale Überlagerungsergebnis dieser Runden unabhängig von den Nutzzeichen. 5.4.5.3.2 Deterministische Knack-Schnapp-Schlüsselgenerierung In §5.4.5.3.1 wird die offensichtliche, aber ineffiziente Implementierung dieser Idee mittels eines Vergleichsprotokolls diskutiert. In §5.4.5.3.2 und §5.4.5.3.3 werden Knack-Schnapp-Schlüsselgenerierungsverfahren beschrieben: Sie generieren Schlüssel für das überlagernde Senden in Abhängigkeit der zuvor erhaltenen globalen Überlagerungsergebnisse und stellen sicher, daß zwei Teilnehmer, die inkonsistente Überlagerungsergebnisse erhalten haben, danach völlig unabhängige Schlüssel benutzen und damit die Nachrichtenübertragung stoppen. Eine effizientere Realisierung von Knack-Schnapp-Verteilung wird durch Kombination der beiden Aufgaben erreicht, Inkonsistenzen zu entdecken und das überlagernde Senden zu stoppen: Hängen die für das überlagernde Senden verwendeten aktuellen Schlüssel Kij und Kji vollständig (aber nicht ausschließlich) von den früheren globalen Überlagerungsergebnissen ab, die Ti und Tj erhalten haben, dann stoppt eine Inkonsistenz zwischen Ii und Ij automatisch das überlagernde Senden, indem das globale Überlagerungsergebnis nicht mehr die Summe aller Nutzzeichen, sondern zufällig ist. Sei δ t ij := Kijt-Kjit und εijt := Iit-Ijt für alle i, j, t. (Hierbei ist t jeweils kein Exponent, sondern ein „oben“ geschriebener Index.) Ein Knack-Schnapp-Schlüsselgenerierungsschema für überlagerndes Senden sollte für alle in G direkt verbundenen Teilnehmerstationen Ti und Tj garantieren: ÜS Überlagerndes Senden: Wenn für alle Runden s = 1, …, t-1 die Gleichung I s i = Ijs gilt, sind die Schlüssel K t ij und Kji t für Runde t gleich und zufällig in F gewählt. Formaler (es bedeute x ∈R M, daß das Element x gleichverteilt zufällig und unabhängig von allen andern aus der Menge M gewählt wird): 5.4.5.3.1 Vergleich der globalen Überlagerungsergebnisse Um Inkonsistenzen der Verteilung zu entdecken, können die Teilnehmer die erhaltenen globalen Überlagerungsergebnisse mittels eines zusätzlichen Protokolls explizit vergleichen: Nach jeder Runde des überlagernden Sendens sendet jede Teilnehmerstation Ti ihr globales Überlagerungsergebnis Ii (input) allen anderen Teilnehmerstationen Tj mit j > i. Wenn eine nichtangreifende Teilnehmerstation Tj ein globales Überlagerungsergebnis ungleich Ij oder nichts von einer anderen Teilnehmerstation Ti mit i < j erhält, stört sie das überlagernde Senden in allen folgenden Runden. Solche Testphasen sind von Byzantinischen Übereinstimmungsprotokollen wohlbekannt. [∀ s ∈ {1, …, t-1}: ε s ij = 0] ⇒ Kijt ∈R F und δ t ij = 0 Dann funktioniert überlagerndes Senden wie üblich. KS Knack-Schnapp: Gibt es einen Index s < t mit I s i ≠ Ij s , dann sind die Schlüssel Kij t und K t ji für Runde t unabhängig und zufällig in F gewählt. Formaler: [∃ s ∈ {1, …, t-1}: ε s ij ≠ 0] ⇒ Kij t ∈R F und δ t ij ∈R F Das überlagernde Senden wird von jedem solchen Schlüsselpaar gestoppt, d.h. das Ergebnis der globalen Überlagerung ist unabhängig von den gesendeten Nutzzeichen. Wegen des Zusammenhangs von G \ (T × A) realisiert dies die Knack-Schnapp-Eigenschaft von Lemma 1 (mit G = G * ). Um diese Tests sicher zu machen, muß die Kommunikation zwischen Ti und Tj mit einem perfekten Authentikationscode geschützt sein [GiMS_74, Sim3_88], d.h. mit einem Code, der einem Angreifer das erfolgreiche Fälschen einer Nachricht höchstens mit der Wahrscheinlichkeit 1 / √⎺⎺|F|, erlaubt, wenn F der Schlüsselraum ist, vgl. §3.3. Eine zusätzliche Nachricht und ein zusätzlicher Schlüssel sind daher für jeden Test nötig. Die Zahl der Tests kann abhängig von der unterstellten Stärke des Angreifers gewählt werden: Sei G * ein ungerichteter Graph, dessen Knoten die Teilnehmerstationen sind. Zwei Teilnehmerstationen Ti und Tj sind in G * direkt verbunden gdw. Ti und Tj ihre globalen Überlagerungsergebnisse vergleichen. In Analogie zum überlagernden Senden gilt folgendes Lemma 1: Im Rest dieses Abschnitts wird ein beliebiges, aber festes Schlüsselpaar (Kij , Kji ) mit Ti ∉A und Tj ∉A betrachtet. Deshalb werden die Indizes i, j oftmals weggelassen. Es wird der mächtigste Angreifer unterstellt: er kann die Werte von K t ij und Kjit für jede Runde t direkt beobachten und er kann Ti und Tj mit beliebigen globalen Überlagerungsergebnisse I t i und Ijt versorgen. Die Teilnehmerstationen Ti und Tj werden als unsynchronisiert angenommen, so daß der Angreifer auf K t+1 ij warten kann, bevor er Tj mit I t j versorgt. Lemma 1 Sei A die Teilmenge der Teilnehmerstationen, die vom Angreifer kontrolliert werden, und sei G * \ (T× A) zusammenhängend. Wenn zwei nichtangreifende Teilnehmerstationen Ti und Tj verschiedene globale Überlagerungsergebnisse Ii und Ij erhalten, dann gibt es ein Paar nichtangreifender Teilnehmerstationen Ti' und Tj' , die in G * direkt verbunden sind und auch verschiedene globale Überlagerungsergebnisse erhalten. Deshalb entdeckt entweder Ti' oder Tj' die Inkonsistenz und stört daraufhin das überlagernde Senden. Sei (F, +, •) ein endlicher Körper und seien a1 , a2 , …, a tmax und b1 , b2 tmax-1 , …, b zwei Folgen, deren Elemente in F zufällig gewählt und in Konzelation und Authentizität garantierender Weise zwischen Ti und Tj ausgetauscht wurden. Sei für t = 1, …, tmax definiert t-1 b t- k • I i k K ij t := a t + ∑k=1 Bew. Wegen des Zusammenhangs von G * \ (T × A) existiert ein Pfad (Ti = Tk1 , …, Tkm = Tj) mit Tkz ∉ A und (Tkz , Tkz+1 ) ∈ G * \ (T × A). Da nach Annahme Ii ≠ Ij ist, existiert ein Index z mit Ikz ≠ Ikz+1 . Wähle (i', j') = (kz , kz+1 ). (1) Offensichtlich ist der Zusammenhang von G * \ (T × A) eine notwendige Bedingung. Das Protokoll erfordert in jeder Runde |G * | zusätzliche Nachrichten, was üblicherweise in der Größenordnung O(n2 ) ist. Falls G = G * , und falls angenommen wird, daß für jede Testnachricht ein Schlüssel aus F zur Authentikation nötig ist, wird die Zahl der Schlüssel, die in Konzelation und 109 bei dem die Konsistenz der Verteilung nicht garantiert ist, sonst könnten wir uns den ganzen Zauber sparen
186 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 185 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 5.4.5.3.3 Probabilistische Knack-Schnapp-Schlüsselgenerierung t-1 b t- k • I j k K ji t := a t + ∑k=1 Eine wesentlich effizientere Realisierung der Knack-Schnapp-Schlüsselgenerierung erhält man, wenn man die Forderung KS etwas abschwächt: Inkonsistente Verteilung muß nicht mit der Wahrscheinlichkeit 1 bis in alle Ewigkeit stören, sondern nur mit der Wahrscheinlichkeit p (z.B. 1- 10-50 ) die nächsten r Runden (z.B. r = 10100 ). Für praktische Zwecke dürfte dies ausreichen. Wie dies genau geht, steht in [WaPf_89], benötigt werden pro Runde zwei Additionen und zwei Multiplikationen im Körper, der allerdings groß gewählt werden muß. {Wie eine der beiden teuren Multiplikationen durch eine billige Addition ersetzt werden kann, wodurch der Aufwand der probabilistischen Knack-Schnapp-Schlüsselgenerierung näherungsweise halbiert wird, steht in [LuPW_91 §2.1].} Sendet jede Teilnehmerstation nach spätestens s-1 Zeichen wieder ein eigenes Nutzzeichen (siehe vorangehender Abschnitt), können s Schlüsselzeichen bu zyklisch verwendet werden. Lemma 2 Das durch Gleichung (1) definierte Schlüsselgenerierungsschema erfüllt die zwei obigen Bedingungen ÜS und KS. Bew. Da a t ∈ R F und da ∑ := K ij t - a t unabhängig von a t ist, ist Kij t ∈R F. Sei ε ij s = 0 für alle s < t. Dann ist offensichtlich δij t = 0 und die Bedingung ÜS ist erfüllt. Nun sei s die erste Runde mit ε s ij ≠ 0. Der Einfachheit halber sei εu := εij u und δu := δij u . Die Differenzen δu werden nach dem folgenden System linearer Gleichungen gebildet: δu = 0 für u = 1, …, s 5.4.5.4 Überlagerndes Empfangen ε s 0 … 0 0 ε s+1 ε s … 0 0 • … ………… = δs+1 δs+2 … δt-1 Die Bandbreite des DC-Netzes kann erheblich besser genutzt werden, wenn die Teilnehmerstationen nutzen, daß wer immer das globale Überlagerungsergebnis ü von n gleichzeitig überlagernd gesendeten Nachrichten sowie n-1 davon einzeln kennt, die ihm noch fehlende Nachricht durch Überlagerung von ü mit den n-1 ihm einzeln bekannten Nachrichten erhalten kann. Dieses überlagernde Empfangen kann global, d.h. alle Teilnehmerstationen überlagern gleich und empfangen so dasselbe, oder paarweise, d.h. genau zwei Teilnehmerstationen können überlagern, geschehen: ⎠ ⎟⎟⎟⎞ b1 b2 … bt-s-1 bt-s ⎝ ⎜⎜⎜⎛ ⎠ ⎟⎟⎟⎞ εt-2 εt-3 … εs 0 εt-1 εt-2 … εs+1 εs ⎝ ⎜⎜⎜⎛ ⎠ ⎟⎟⎟⎞ δ t ⎝ ⎜⎜⎜⎛ Da εs ≠ 0 ist, ist die Matrix regulär und definiert eine bijektive Abbildung. Da b1 ,...,bt-s∈R F, sind δs+1 ,...,δt gleichmäßig und unabhängig in F verteilt. Die Unabhängigkeit aller K 1 ij , …, Kijt und δs+1 , …, δt folgt aus der Unabhängigkeit aller a1 , …, at und δs+1 , …, δt . Beim globalen überlagernden Empfangen speichern alle Teilnehmerstationen nach einer Überlagerungs-Kollision diese (zunächst) nicht verwertbare Nachricht ab, so daß bei n kollidierten Nachrichten nur n-1 noch einmal gesendet werden müssen: die letzte Nachricht ergibt sich durch Subtraktion (modulo Alphabetgröße) der n-1 Nachrichten von der (zunächst) nicht verwertbaren Nachricht. Empfangen die Teilnehmerstationen global überlagernd, so verschwendet eine Teilnehmerstation, die hin und wieder mehrere Nachrichten gleichzeitig überlagert und alle bis auf eine noch einmal einzeln sendet, keine Bandbreite des DC-Netzes, so daß dies ohne weiteres zulässig und allgemein bekannt sein kann. Dadurch wird der obige Schluß, daß kollidierte Nachrichten nicht von derselben Teilnehmerstation stammen, falsch, so daß das überlagernde Empfangen trotz der Effizienzsteigerung Sendeereignisse bei geeignet gewählten Wahrscheinlichkeiten für das gleichzeitige Überlagern von mehreren Nachrichten informationstheoretisch unverkettbar läßt. Zusätzlich zur besseren Nutzung der Bandbreite des DC-Netzes spart das globale überlagernde Empfangen auch noch das neu und damit anders (Ende-zu-Ende-)Verschlüsseln von kollidierten Nachrichten. Der zusätzliche Aufwand dieses Schlüsselgenerierungsschemas besteht in • den insgesamt 2•tmax - 1 in Konzelation und Authentizität garantierender Weise zwischen jedem in G direkt verbundenen Teilnehmerstationenpaar Ti und Tj ausgetauschten Schlüsselzeichen at , bt (anstatt nur tmax für normales überlagerndes Senden), • der Speicherung aller tmax-1 erhaltenen globalen Überlagerungszeichen und • den jeweils t-1 Additionen und Multiplikationen (im Körper), um die Schlüssel für Runde t zu berechnen. Aus letzterem folgt, daß das Schema durchschnittlich jeweils tmax / 2 Additionen und Multiplikationen benötigt. Deshalb ist das Schema praktisch nur von geringer Verwendbarkeit. Gibt es keine zusätzliche Kommunikation zwischen Ti und Tj über ihren momentanen Zustand, so ist das Schema optimal bezüglich der Zahl der ausgetauschten Schlüsselzeichen und des zusätzlich benötigten Speichers. Dies ist in [WaPf_89 Seite 13f] gezeigt. Paarweises überlagerndes Empfangen ist dann möglich, wenn sich zwei möglicherweise vollständig anonyme Teilnehmerstationen (etwa mittels eines anonymen Reservierungsschemas, vgl. §5.4.5.4.3) mit allen anderen am überlagernden Senden Beteiligten darauf geeinigt haben, daß und wann beide exklusives Senderecht haben: Obwohl beide gleichzeitig senden, können beide, indem sie je das von ihnen Gesendete mit dem globalen Überlagerungsergebnis überlagern, empfangen, was der andere gesendet hat (Bild 5-12). Dies kann für zwei Zwecke genutzt werden: Senden beide Teilnehmerstationen je eine exklusiv für die andere Teilnehmerstation bestimmte Nachricht, so wird die Bandbreite des DC-Netzes doppelt so gut wie mit den in [Cha3_85, Chau_88, Pfi1_85] beschriebenen Zugriffsverfahren genutzt, beispielsweise kann in der Bandbreite eines Verteil-Simplex-Kanals ein Punkt-zu-Punkt-Duplex-Kanal untergebracht werden. Sendet eine der beiden Teilnehmerstationen einen rein zufällig generierten Schlüssel, so kann sie von der anderen eine Nachricht in perfekter informationstheoretischer Konzelation erhalten, obwohl beide Teilnehmerstationen voreinander vollständig anonym sein können, wenn das zugrundeliegende Das Schema zur deterministischen Knack-Schnapp-Schlüsselgenerierung wird verwendbar, wenn man die Summen in Gleichung (1) jeweils nicht bei 1, sondern für ein festes s jeweils bei t-s beginnen läßt. Hierbei muß s so gewählt werden, daß jede Teilnehmerstation spätestens nach s-1 von anderen gesendeten Nutzzeichen wieder ein eigenes sendet, daß der Angreifer nicht mit genügend großer Wahrscheinlichkeit raten kann. Erhält sie als globales Überlagerungsergebnis ihr Nutzzeichen (was bei einer Störung durch inkonsistente Verteilung in einer der letzten s Runden niemand erfahren hätte), dann gab es in den zurückliegenden s Runden mit entsprechender Wahrscheinlichkeit keine inkonsistente Verteilung. Da bei konsistenter Verteilung der Angreifer nichts über die bu erfährt, kann man sie nach s Runden jeweils wiederverwenden. Dadurch wird nicht nur die Zahl der Körperoperationen reduziert, sondern auch die Zahl der nötigen Schlüsselzeichen. Man kann also durch geeignete Wahl von s ein leidlich praktikables Schema erhalten. {Wie der Aufwand der deterministischen Knack-Schnapp-Schlüsselgenerierung näherungsweise halbiert werden kann, steht in [LuPW_91 §2.2].}
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48: 82 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 97: 182 A. Pfitzmann: Datensicherheit u
Seite 149 und 150:
286 A. Pfitzmann: Datensicherheit u
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?