IT-Security Teil 15: Hash-Verfahren, Zeitstempel, Zufall

IT-Security 

Teil 15: Hash-Verfahren, Zeitstempel, Zufall 

ITSec – SS 2013 - Teil 15/Hash-Verfahren, Zeitstempel, Zufall 28.05.13 1

Übersicht 

• Hash-Funktionen 

• (Pseudo-)Zufallsgeneratoren 

• Verfahren für Zeitstempel 

ITSec – SS 2013 - Teil 15/Hash-Verfahren, Zeitstempel, Zufall 

2

Authentifizierung von Nachrichten I 

• Authentifizierung von Nachrichten = Prüfung, ob eine Nachricht 

in der vorliegenden Form von einer bestimmten Identität 

stammt, d.h. 

Inhalt und Herkunft werden geprüft. 

• Modifikationserkennungswert = Modification Detection Code = 

MDC = Hash-Wert (Fingerabdruck) von Nachrichten 

• Nachrichtenauthentifizierungswerte = Message Authentication 

Code = MAC = Hash-Wert (Fingerabdruck) von Nachrichten, 

wobei ein geheimer Schlüssel verwendet wird. 

• Mit einem MAC lässt sich die Integrität sowie die Herkunft einer 

Nachricht nachweisen, mit MDC nur die Integrität. 


3

Authentifizierung von Nachrichten II 

Sender 

Empfänger 

(1) 

Nachricht 

Nachricht 

Nachricht 

H 

H 

Key 

Key 

= ? 

E 

D 

(2) 

Nachricht 

Nachricht 

Nachricht 

H 

H 

Secret-Key 

Public-Key 

= ? 

E 

D 


4

Authentifizierung von Nachrichten III 

Sender 

Empfänger 

(3) 

H 

Nachricht 

Nachricht 

Nachricht 

H 

= ? 

Dies ist eine Variante, bei der ein geheimer Teil der Nachricht beim 

Erzeugen des Hash-Wertes hinzugefügt wird. 

Dieser Teil wird natürlich nicht übertragen. 


5

Bemerkungen 

• Zum 1. Verfahren (1) 

Es wird ein gemeinsames Geheimnis (key) auf beiden Seiten zur 

Verschlüsselung des Hashwertes benutzt. 

Dies ist der symmetrischen Verschlüsselung sehr ähnlich. 


Es wird das Prinzip der elektronischen Unterschrift (Signatur) 

angewandt. 


Es wird an die Nachricht ein Geheimnis, das beide Seiten kennen 

müssen, angehängt und den Hash über beide Teile gebildet. 


6

Definition Hash-Funktion I 

• Hash-Funktion = Funktion h(x), für die folgendes gilt: 

– Kompression: Abbildung eines beliebigen Bitstrings auf einen 

Ausgabewert mit einer festen in der Regel kurzen Länge. 

Dieser ist der Hash-Wert. 

– Einfachheit: Für jeden Eingabewert x lasst sich die Funktion h(x) mit 

geringem Aufwand berechnen. 

• Beispiele: 

– Berechnung des Paritätsbits: Rechnernetze 

– Cyclic Redundancy Check (CRC): Rechnernetze, Plattenblöcke 

– Indizierung von Tabellen einer relationalen Datenbank 

– Zugriff auf Symboltabellen innerhalb von Compilern 


7

Definition Hash-Funktion II 

• Kryptographische Hash-Funktion = Hash-Funktion h(x), für die 

zusätzlich noch folgendes gilt: 

– Unbestimmbarkeit von Urbildern: 

Nur mit erheblichen Aufwand ist das x für ein gegebenes y bei 

y=h(x) zu bestimmen. 

– Unbestimmbarkeit eines weiteren Urbildes: 

Nur mit erheblichen Aufwand ist für ein gegebenes x ein weiteres x' 

zu bestimmen, wobei h(x)=h(x') gilt. 

– Kollisionsfreiheit (Collision Resistance): 

Nur mit erheblichen Aufwand sind zwei beliebige x und x' zu 

bestimmen, wobei h(x)=h(x') gilt. 

Siehe dazu: http://de.wikipedia.org/wiki/Kryptologische_Hashfunktion 


8

Bemerkungen 

• Kollision = Eine Kollision liegt vor, wenn derselbe Hash-Wert 

anhand verschiedener Urbilder erzeugt werden kann. 

• Da das Urbild x (fast) immer größer ist als der Hash-Wert, z.B. 

160 bit, sind Kollisionen prinzipiell nie zu vermeiden: 

Beispiel: Block von 1 kbyte: 2 1024*8 Bit-Kombinationen werden auf 

2 160 Möglichkeiten abgebildet. 

• Praktisch haben Kollisionen nur in wenigen Fällen Relevanz, da 

menschlich lesbare Texte, z. B. Verträge, nur eine sehr kleine 

Teilmenge aller Bitkombinationen benutzen. 

Aber: Durch Einfügen/Entfernen von Blanks o.ä. lässt sich 

"derselbe" Vertrag variieren, so dass zwei verschiedene Verträge 

denselben Hash-Wert ergeben könnten. 


9

Struktur der Hash-Funktionen 

Nachricht 

Länge l 

M 

Länge anfügen und auf 

ganzzahliges Vielfaches 

einer Blocklänge ergänzen 

Blöcke 

mit b Bits 

M 

l 

Initialisierungsvektor 

(i.d.R. vorgegeben) 

b 

n 

f 

b 

n 

f 

n 

.... 

Blockweise in Stücken von b Bits wird die Nachricht 

jeweils mit dem vorherigen Wert verknüpft. 

Der letzte Wert der Funktion f ist der Hash-Wert. 


10

Ergänzungen 

• f() ist eine Kompressionsfunktion. 

• Bitlänge des Hash-Wertes sollte mindestens 160 bit sein. 

• Implementiert werden diese Funktionen, indem ein Register mit 

der Hash-Wertlänge (mind. 160 bit) in Schleifen (Runden) 

blockweise verknüpft wird: 

Nachricht M 

Initialisierung 

Register 

Hash-Wert 

.... 

Funktion f 

.... 


11

Geburtstagsangriff I 

• Wie viele Personen müssen sich in einem Raum befinden, dass 

zwei Personen mit 50%iger Wahrscheinlichkeit am selben Tag 

Geburtstag haben? 

Antwort: 23 

• Allgemeiner: 

Wie viele Elemente müssen aus einer Menge mit n Elementen 

ausgewählt werden, damit mit einer Wahr-scheinlichkeit 0,5 

zwei identische gefunden werden? 

Antwort: Ca. Wurzel von n 

• Anders: Wie viele Texte müssen zufällig erstellt werden, damit 

diese mit 50%iger Wahrscheinlichkeit denselben Hash-Wert 

besitzen? 

Bei einer Hash-Wertlänge von 160 bit: 2 80 , was als nicht 

realisierbar gilt. 


12

Wie verläuft der Geburtstagsangriff? 

1. Es gibt zwei Nachrichten m 1 und m 2 , wobei m 1 für den Angreifer 

schlecht und m 2 gut ist. 

2. Der Angreifer variiert m 1 und m 2 - z. B. Einfügen von Blanks 

oder Zeichen, die mit einem nachfolgenden Backspace 

unsichtbar gemacht werden o.ä. - und bestimmt die Hash- 

Werte. 

3. Nach durchschnittlich 2 r/2 Versuchen, wobei r die Länge des 

Hash-Wertes ist, hat der Angreifer zwei Variationen m 1 ' und m 2 ', 

gefunden, die denselben Hash-Wert besitzen. 

4. Nun lässt der Angreifer m 1 ' unterschreiben. 

5. Der Angreifer tauscht den unterschriebenen Text m 1 ' mit dem 

anderen Text m 2 ' aus.... 


13

Geburtstagsangriff II 

Was lehrt uns das? 

Der Unterschreibende sollte vor der Leistung der Unterschrift 

den Text kosmetisch, z.B. durch willkürliches Einfügen von 

Blanks verändern. 

Das Besagte bezog sich auf ASCII-Texte (siehe Backspace etc.). 

Mit Textsystemen ist es noch schlimmer, da auf der Binärfile-Ebene 

"unsichtbar" Daten eingefügt werden können... 


14

Einfache Hash-Funktionen 

• Einfachstes Verfahren: 

– H(m) = b 1 XOR b 2 XOR ... XOR b n 

Blockweises Exclusiv-Oder aller Blöcke der Nachricht m 

– Ergebnis: Einfache longitudinale Parität 

– Nicht besonders sicher bzw. wirksam 

– Anwendungsbeispiel: Feststellung von Bitkippern 

• Verbesserung: 

1. Hash-Register:=0 

2. Für jeden n-bit-Block: 

• Verschiebung der Hash-Registers um 1 Bit nach links 

• Register:= Register XOR Block 

Hohes Maß an Erkennung von Bitkippern 

• Probleme beider Verfahren: Es lässt sich leicht eine andere 

Nachricht mit demselben Hash-Wert generieren. 


15

Message Digest 5 (MD5) I 

• Entwickelt von Ron Rivest 

• Nachfolger von MD4 

• Hash-Wert: 128 bit für Blöcke von 512 bit Länge 

• Vorbereitung: 

– Ein Bit mit Wert 1 wird an die Nachricht m angehängt. 

– Dann so viele 0-Bits, bis die Länge ein Vielfaches zu 448 mod 512 

ist 

– Anfügen der Länge von m als 64-bit-Längenfeld 

– Vier Register á 32 bit werden initialisiert: 

A:= 0x01 23 45 67, B:= 0x89 AB CD EF 

C:= 0xFE DC BA 98, D:= 0x76 54 32 10 

(niederwertige Bits am Ende) 


16

Message Digest 5 (MD5) II 

A B C D 

+ 

g 

Teile des 

aktuellen 

Blocks 

Werte aus 

Tabelle 

Shift-Bit- 

Anzahl aus 

Tabelle 

+ 

+ 

CLS 

A B C D 

• Jeder Block wird in 4 Runden mit jeweils 128 bit verarbeitet. 

• Jede Runde besteht auch 16 Teilschritten, in denen Tabellen-gesteuert 

zyklisch nach Links (CLS) geschoben und mit Werten aus einer Tabelle 

XOR wird 

• g ist ist eine rundenspezifische Funktion. 

• Hash-Wert ist am Ende der Wert in den Registern A bis D. 


17

Sicherheit von MD5 

• 1996: Angriff realisiert, der eine Kollision auf einen Teil von MD5 

erzeugte 

• Trotzdem Misstrauen: 

Eingeschränkte Verwendung wird empfohlen 

• Hash-Länge von 128 bit wird als zu kurz angesehen. 


18

Secure Hash Algorithm 1 (SHA-1) 

• National Institute of Standards (NIST) zusammen mit NSA 

– 1. Version: 1993 genormt, SHA 

– 2. Version: 1995, SHA-1 

• Name des Standards: Secure Hash Standard (SHS) 

SHA ist der Name des Algorithmus 

• Maximale Länge der Nachricht 2 64 bit 

• Hash-Wert: 160 bit 

• Blocklänge der Eingabe: 512 bit 

• Message Digest = MD = Hash-Wert einer kryptographischen 

Hash-Funktion 


19

SHA-1 I 

Länge l 

Nachricht 100...0 

l 

512 

Initial 

Vector 

(160 bit) 

H H H H .... 

• Die Nachricht wird durch Auffüllen mit einer 1 gefolgt von 0 sowie 

Ergänzung der Nachrichtenlänge (64 bit) auf ein Vielfaches von 512 bit 

gebracht. 

• Der Message Digest-Puffer (MD-Puffer) besteht aus 5 Registern a 32 

bit. Vorbelegung: A:= 0x67 45 23 01, B:= 0xEF CD AB 89, 

C:= 0x98 BA DV EF, D:=10 32 54 76, E:=C3 D2 E1 F0 


20

SHA-1 II 

A B C D E 

F 

+ 

CLS 

+ 

CLS 

+ 

W 

Teile des 

aktuellen 

Blocks 

+ 

Werte aus 

Tabelle 

A B C D E 

• Jeder Block wird in 4 Runden á 20 Schritten bearbeitet. 

• Der Inhalt der 5 Register nach dem letzten Schritt ist der Hash-Wert. 


21

Sicherheit von SHA-1 

• Die Entwurfskriterien von SHA-1 wurden bisher nicht 

veröffentlicht, so dass die Kryptoanalyse schwieriger ist. 

• Bis heute sind keine bedeutenden Angriffe bekannt. 

• Aufwand, um zwei Nachrichten mit demselben Hash-Wert 

erzeugen: 2 80 Operationen 

• Aufwand zu einer gegebenen Nachricht und dem Hash-Wert eine 

andere mit demselben Hash-Wert zu finden: 2 160 Operationen 

• SHA-1 ist ca. 25% langsamer als MD5, was dem längeren Hash- 

Wert entspricht. 

• RSA Labs empfiehlt SHA-1 für Anwendungen mit 

Kollisionsfreiheit. 


22

Key-Hash (HMAC) 

• Reine Hash-Funktionen wie SHA-1 können allein nicht als MAC 

(Message Authentication Code) benutzt werden, da kein 

geheimer Schlüssel verwendet wird. 

• Das HMAC-Verfahren ist in RFC 2104 (Keyed-Hashing for 

Message Authentication) 1997 definiert. 

• Entwurfsziele: 

– Unveränderter Gebrauch verfügbarer Hash-Funktionen 

– Ersetzbarkeit durch andere Hash-Funktionen 

– Einfache Verwendung von Schlüsseln 

• HMAC behandelt die Hash-Funktionen wie Black Boxes, d.h. es 

wird vom konkreten Hash-Verfahren abstrahiert. 

Siehe: 

http://tools.ietf.org/html/rfc2104 

http://de.wikipedia.org/wiki/Keyed-Hash_Message_Authentication_Code 


23

Prinzip des HMAC-Verfahrens 

Konstante 

(wiederholtes 0x36) 

ipad 

+ 

K + Linke Seite des 

geheimen Schlüssels 

Salt y 0 y 1 y 2 ... y n 


Hash 

Konstante 

(wiederholtes 0x5C) 

opad 

+ 

K + 

Auf Blocklänge 

auffüllen 

Salt 


Hash 

HMAC 


24

Bemerkungen 

• Salt = Salz = Begriff für ein für den Angreifer notwendiges, aber 

nicht bestimmbares Element 

"Um dem Angreifer die Suppe zu versalzen" 

• ipod/opod sind zwei im Verfahren festgelegte Konstanten. 

• K + ist der aufbereitete geheime Schlüssel K, wobei dem 

Schlüssel so viele Nullen angehängt werden, damit er die 

Blocklänge hat. 

Von diesem K + wird die linke Hälfte genommen, da ja in der 

rechten Hälfte nur Nullen vorhanden sind. 

• Es ist zu beachten, dass HMAC ein allgemeines Verfahren ist, 

dass keine bestimmten Schlüssellängen bzw. Blocklängen 

verlangt; daher sind in speziellen Fällen Anpassungen an die 

erforderlichen Längen nötig. 


25

Zufallsgeneratoren 

• Zufallsbitgenerator = Random Bit Generator = Gerät oder 

Verfahren, das eine Sequenz statistisch unabhängiger und gleich 

verteilter Bitfolgen erzeugt. 

• Pseudozufallsbitgenerator = PZBG = Pseudo Random Number 

Generator = Gerät oder Verfahren, das einen deterministischen 

Algorithmus realisiert, als Eingabe eine zufällige Bitfolge der 

Länge k (Seed) erhält und eine Bitfolge der Länge l produziert, 

die den Eindruck der Zufälligkeit erweckt. 

• Seed = möglichst zufälliger Startwert eines PZBG 


26

Drei Beispiele I 

Verfahren 1 (Linearer Kongruenzgenerator): 

• Parameter: a (Multiplikator), b (Inkrement) und q (Modul) 

• Startwert y 0 

• Produziert die Bitfolge y 1 , y 2 , y 3 etc. 

y i = (a*y i-1 + b) MOD q 

Generator hat bei guter Wahl von a, b und m die maximale 

Periodenlänge von m. 

Vorteil: Schnelligkeit 


27

Drei Beispiele II 

Verfahren 2 (Quadratischer Kongruenzgenerator): 

• Parameter: a, b, c und q 

• Startwert y 0 , produziert die Bitfolge y 1 , y 2 , y 3 etc. 

y i = (a*y 2 i-1+ b*y i-1 + b) MOD q 

Verfahren 3 (Kubischer Kongruenzgenerator): 

• Parameter: a, b, c, d und q 

• Startwert y 0 , produziert die Bitfolge y 1 , y 2 , y 3 etc. 

y i = (a*y 3 i-1+ b*y 2 i-1+ c*y i-1 + d) MOD q 

Kryptographisch unbrauchbar, da auch ohne Kenntnis der Werte 

für a,... y aus der Reihe beobachteter Werte y i 

, y i+1 

,..., y i+j 

die folgenden korrekten Werte bestimmt werden können. 

M.a.W. alle drei Verfahren sind "geknackt". 


28

Weitere Bedingung 

• Ein Pseudozufallsbitgenerator(PZBG) besteht den Next Bit Test, 

wenn kein Algorithmus mit polynominalen Aufwand existiert, der 

mit der Eingabe der ersten vom PZBG erzeugten m Bits als 

Ausgabe das (m+1)ste Bit mit einer Wahrscheinlichkeit größer 

als 0,5 vorhersagen kann. 

• Ein PZBG besteht den Next Bit Test, wenn er alle statistischen 

Tests besteht. 

• Ein PZBG wird kryptographisch genannt, wenn er den Next Bit 

Test besteht. 


29

Beispiel für Korrekturverfahren 

Wenn ein PZBG nicht gleich verteilte, aber unkorrelierte 

Bitfolgen erzeugt: 

1. Bitfolge wird in Paare aufgeteilt. 

2. Alle 00- und 11-Paare werden verworfen. 

3. Jedes 01-Paar wird durch eine 1 ersetzt. 

4. Jedes 10-Paar wird durch eine 0 ersetzt. 

Wenn keine Korrelation vorliegt, erzeugt dieses Verfahren 

unkorrelierte und gleich verteilte Bitfolgen. 


30

Kryptographisch sicheres Verfahren (ANSI X9.17) 

int RandomX917(Bits s, int m, Bits key) { 

Bits q, x[]; 

int i; 

x= malloc(m*sizeof(Bits)); 

q= 3DES(key,TimeStamp); 

for (i=0;i

Erzeugung von (echten) Zufallszahlen I 

• Beobachtung der Zeitspanne zwischen Emissionen beim radioaktiven 

Zerfall (Zeitraum, in dem sich statistisch die Zeitspannen gleichen) 

• Messung thermischen Rauschens, z. B. von einer Diode. 

• Messung der Ladungsdifferenz zweier eng benachbarter Halbleiter 

• Messung der Zugriffszeiten auf Blöcke auf einer Platte 

• Messung der Zeitdifferenzen von Tastatureingaben 

• Analyse von Audio-/Videodaten von einer stark belebten Kreuzung 

Diese Rohdaten müssen in der Regel noch nachbearbeitet werden. 


32

Erzeugung von (echten) Zufallszahlen II 

Es ist recht schwierig, an einem Computer, der ein deterministischer 

Automat ist, echten Zufall ohne Zusatzgeräte zu 

erzeugen. 

Ein gutes Verfahren kombiniert verschiedene Methoden: 

– Analyse der Tastatureingaben 

– Analyse von Mausbewegungen 

– Uhrzeit auf ms genau 

– Positionierungszeiten der Platte 

– Analyse von Transfers auf dem LAN 

Es werden von diesen Daten immer die niederwertigsten Bits 

benutzt. 

Diese Daten werden dann kombiniert und bilden einen 

Zufallswert, der eventuell als Seed eines Pseudozufallszahlengenerators 

benutzt wird. 


33

Zeitstempel-Verfahren I 

Es wird eine vertrauenswürdige Partei TTP angenommen. 

Verfahren 1: 

1. A übermittelt der TTP eine Kopie des Dokuments. 

2. TTP zeichnet das Datum und Uhrzeit des Dokumentenempfangs auf 

und speichert es in einer Datenbank. 

3. TTP behält Kopie des Dokuments. 

• Zur Prüfung wendet sich B mit dem Dokument an TTP und lässt 

sich den Zeitpunkt sagen. 

• Nachteile 

• TTP kennt das unverschlüsseltes Dokument. 

• TTP muss sehr große Datenbank haben. 

• Fehleranfälligkeit der Übertragung (und Speicherung) 

• Parteien A und B können betrügerisch zusammenarbeiten 


34

Zeitstempel-Verfahren II 


1. A erzeugt einen Hash-Wert des Dokuments . 

2. A übermittelt TTP den Hash-Wert. 

3. TTP fügt Datum und Uhrzeit an den Hash-Wert. 

4. TTP unterschreibt das Ganze. 

5. TTP übermittelt A unterschriebenen Hash-Wert mit Zeitstempel 

• Zur Prüfung prüft B Zeitstempel und Hash-Wert sowie 

Unterschrift von TTP. 

Partei A 

Partei TTP 

Secret-Key 

Nachricht 

H 

Zeit 

H 

E 

Zeit 


35

Zeitstempel-Verfahren III 

• Verfahren 2 löst alle Probleme bis auf das, dass A und B 

betrügerisch (hinsichtlich des Zeitpunkts) zusammenarbeiten 

können. 


• Idee: Verknüpfung mit an andere Identitäten ausgegebene 

Zeitstempel 

• Dieses Verfahren verknüpft den Zeitstempel mit dem direkt davor 

ausgegebenen sowie (rekursiv) mit dem eventuell vorhandenen 

nächsten Zeitstempel. 

• Es wird eine Kette von Zeitstempeln, wobei per Unterschrift die 

jeweils benachbarten verknüpft werden. 

• Wird ein Zeitstempel angezweifelt, müssen die Zeitstempel der 

Identitäten I n-1 und I n+1 , also der benachbarten Stempel geprüft 

werden. 

Werden auch diese Stempel angezweifelt, so müssen die nächsten 

Nachbarn in der Kette geprüft werden: I n-2 und I n+2 usw. 


36

Zeitstempel-Verfahren IV 

• Die zufällige Auswahl der Partner verhindert Betrug. 

• Je größer die Korruption in der Gesellschaft ist, desto größer 

muss k gewählt werden. 

Bemerkungen 

• Veröffentlichen von Zeitstempeln z. B. in Zeitungen erhöht die 

Sicherheit. 

• Die letzten zwei Verfahren (2 und 3) sind patentiert. 


37

Nach dieser Anstrengung etwas Entspannung.... 


38

IT-Security Teil 15: Hash-Verfahren, Zeitstempel, Zufall

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?