Full paper (pdf) - CDC
Full paper (pdf) - CDC
Full paper (pdf) - CDC
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Praktische Einsetzbarkeit Die Sicherheit des One-Time-Pad-Verfahrens<br />
beruht auf der Zufälligkeit des Schlüssels. Wenn er nicht wirklich zufällig erzeugt<br />
wurde, sondern durch einen Algorithmus (einen Pseudo-Zufallszahlengenerator),<br />
dann läßt sich die Shannon-Sicherheit nicht mehr beweisen. Darüber hinaus erfordert<br />
die Übermittlung des Schlüssels an den Empfänger ein vorheriges Treffen<br />
oder vertrauenswürdige Boten. Nicht zuletzt darf der Schlüssel nur ein einziges<br />
Mal benutzt werden. Damit ist der Einsatz des eigentlich simplen Verfahrens mit<br />
großem organisatorischen Aufwand verbunden (in der Tat wurde es vor allem<br />
für wichtige diplomatische und militärische Mitteilungen in der ersten Hälte des<br />
20. Jahrhunderts verwendet, für die der hohe Aufwand zu rechtfertigen war).<br />
2.1.2 Die XOR-Methode<br />
Wenn der Absender einer mit dem One-Time-Pad verschlüsselten Nachricht den<br />
Schlüsseltext einem Boten übergibt, können wir uns dies als das Aufteilen der<br />
Nachricht auf zwei Personen vorstellen, den Boten und den Empfänger: Der<br />
Bote besitzt die verschlüsselte Nachricht und der Empfänger das zugehörige<br />
One-Time-Pad. Solange die beiden nicht zusammenarbeiten (was üblicherweise<br />
darin besteht, daß der Bote den Schlüsseltext an den Empfänger übergibt), kann<br />
keiner von beiden (und auch kein Dritter) die Nachricht rekonstruieren und<br />
verfügt nur über eine zufällige Bitfolge. Mit der in Abschnitt 2.2 eingeführten<br />
Sprechweise haben wir es hier mit einem � � 2<br />
2 -Secret-Sharing-Verfahren zu tun.<br />
Das Verfahren läßt sich leicht auf beliebig viele Teilnehmer verallgemeinern:<br />
Um eine geheime Information s = s [m−1] s [m−2] . . . s [1] s [0] mit m Bits auf t Teilnehmer<br />
zu verteilen erhalten alle Teilnehmer bis auf den letzten jeweils einen<br />
m-bit-langen Zufallsstring<br />
si = s [m−1]<br />
i<br />
s [m−2]<br />
i . . . s [1]<br />
i s[0]<br />
i<br />
und der letzte Teilnehmer erhält die XOR-Summe<br />
st = s [m−1]<br />
t<br />
s [m−2]<br />
t . . . s [1]<br />
t s[0] t<br />
s [j]<br />
i ∈R {0, 1} 1 ≤ i < t<br />
s [j]<br />
t = s[j] ⊕ s [j]<br />
1 ⊕ . . . ⊕ s[j] t−1<br />
aller anderen Anteile mit dem Geheimnis. Damit läßt sich (bei Vorliegen aller<br />
Teilgeheimnisse si) jedes Bit s [j] von s als s [j] = �<br />
i s[j]<br />
i zurückgewinnen.<br />
2.2 Redundantes Secret-Sharing<br />
Wie wir gesehen haben, ermöglicht es die XOR-Methode, ein Geheimnis auf<br />
mehrere Orte zu verteilen, wodurch es wesentlich besser dagegen geschützt ist,<br />
aufgedeckt zu werden. Auf diese Weise wird das Sicherheitsproblem einer replizierten<br />
Speicherung umgangen. Unglücklicherweise geht aber auch der Vorteil<br />
einer Replikation verloren, nämlich die Robustheit gegen den Verlust einzelner<br />
Anteile: Sobald auch nur einer der Anteile der XOR-Methode nicht mehr zur<br />
Verfügung steht, kann das Geheimnis nicht mehr rekonstruiert werden. Diesem<br />
Mangel treten redundante Secret-Sharing-Verfahren entgegen, bei denen bereits<br />
eine Teilmenge der Anteile genügt, um das Geheimnis zurückzugewinnen.<br />
9