Sicherheit in Rechnernetzen - Professur Datenschutz und ...

5 Sicherheit in Kommunikationsnetzen
folgt z·2 B · f +N · f ≡ z ′ ·2 B +N ′ , daraus folgt 2 B ·(z· f −z ′ ) ≡ N ′ −N · f und daraus folgt z· f −z ′ ≡
(N ′ − N · f )·(2 B ) −1 . Wählt der Angreifer f ≤ 2 b , so gilt −2 b < z· f −z ′ < 2 2b . Der Angreifer setzt
nun in die Formel z· f −z ′ ≡ (N ′ −N· f )·(2 B ) −1 für N und N ′ jeweils alle Ausgabe-Nachrichten des
bzw. der betroffenen Schübe ein und prüft, ob z · f < z ′ im entsprechenden Intervall liegt. Dies
ist, da b sehr viel kleiner als B ist, mit sehr hoher Wahrscheinlichkeit nur für genau ein Paar der
Ausgabe-Nachrichten der Fall. Die erste Nachricht N dieses Paares ist die Nachricht, bezüglich
der der MIX mittels des aktiven Angriffs überbrückt werden soll. Die zweite Nachricht N ′ ist
die der vom Angreifer gebildeten Eingabe-Nachricht entsprechende Ausgabe-Nachricht.
Erfüllen zwei oder mehr Paare diese Bedingung, so wiederholt der Angreifer seinen Angriff
mit einem anderen Faktor und führt bei seinem zweiten sowie ggf. allen weiteren Versuchen
das paarweise Einsetzen nur noch mit den durch die bisherigen Tests nicht ausgeschlossenen
Nachrichten des zuerst erwähnten Schubes durch. Dieser Angriff auf die Kommunikationsbeziehung
einer Nachricht N ist mit in der bei N verwendeten Schubgröße quadratischem Aufwand
durchzuführen: Der Angreifer muß bei jedem Versuch nur einmal mit RSA verschlüsseln (sowie
das Ergebnis mit N multiplizieren und modulo n reduzieren) sowie für jede Nachricht des
Schubes eine Addition, zwei Multiplikationen, zwei Reduktionen modulo n und zwei Vergleiche
durchführen. In [PfPf_90, Seite 376] ist beschrieben, wie der Aufwand dieses Angriffs auf
O(Schubgröße · ld(Schubgröße)) reduziert werden kann.
Die bisher unterstellte Annahme, daß b sehr viel kleiner als B ist, ist nicht nötig. Ein entsprechender
Angriff ist bereits immer dann möglich, wenn B so groß ist, daß eine Wahl von f ≤ 2 B−1
für den zu überbrückenden MIX „praktische“ Unverkettbarkeit von (z, N) und (z, N) · f ergibt.
Die resultierende Ungleichung −2 b < z · f − z ′ < 2 b+B−1 genügt bereits, damit der Angreifer in
jeder Iteration seines Angriffs einen von der Iterationszahl unabhängigen Anteil der noch möglichen
Nachrichten des ursprünglichen Schubes ausscheiden kann. Der Aufwand des Angriffs
steigt damit lediglich um einen logarithmischen Faktor.
Ist eine adaptive Wiederholung des Angriffs nicht möglich, etwa weil der MIX nach jedem
Schub sein Schlüsselpaar wechselt, kann der Angreifer dieselbe Information wie durch seinen
iterativen Angriff dadurch erhalten, daß er gleich mehrere Faktoren wählt, entsprechend mehrere
Nachrichten bildet und alle diese zusammen mit der Nachricht, bezüglich der er den MIX
überbrücken will, zum Mixen im selben Schub einreicht.
Es wurde bisher nicht geprüft, ob mit den in jüngerer Vergangenheit veröffentlichten Angriffen
auf RSA eine Senkung des Angriffsaufwands möglich ist.
Alles bisher am Beispiel eines direkten Umcodierungsschemas für Senderanonymität Gezeigte
gilt natürlich auch für jedes indirekte Umcodierungsschema, indem für den Angriff statt ganzer
Nachrichten nur (Rück-)Adreßteile verwendet werden. Dies ist bei allen in [Chau_81] angegebenen
Umcodierungsschemata möglich [PfPf_90, §3.2]. Dies kann jedoch durch Verwendung
geeigneter Umcodierungsschemata, d. h. solcher, die keine direkt sondern nur indirekt umcodierte
Teile in beobachtbarer Weise verwenden, vermieden werden. Hierbei sollte das zur indirekten
Umcodierung verwendete (symmetrische) Konzelationssystem völlig anders als RSA arbeiten.
Werden die zufälligen Bitketten an den Bitstellen niedrigerer Wertigkeit untergebracht, so existiert
ein analoger und ebenfalls erfolgreicher Angriff [PfPf_90, §3.2].
282
Repräsentanten der Restklasse stehen, so daß die Kongruenz in Wirklichkeit eine Gleichung ist, die zusammen
mit den sich aus der Länge von z ′ und N ′ ergebenden Ungleichungen die Werte von z ′ und N ′ eindeutig bestimmt.