Kryptographische Protokolle: Hybride Verschlüsselung

2b. Kryptographische Protokolle

2b.1 Hybride Verschlüsselung

(als sehr einfaches Beispiel)

Ablauf der hybriden Verschlüsselung

Eigenschaften

Hybride Verschlüsselung verbindet die Vorteile von

symmetrischen Verfahren (Geschwindigkeit),
asymmetrischen Verfahren (spontane Kommunikation),

und vermeidet die jeweiligen Nachteile.

Methodik

Eigentliche Kommunikation symmetrisch verschlüsselt -
- mit einmaligem zufälligem Sitzungsschlüssel,
- dieser wird zu Beginn der Sitzung asymmetrisch verschlüsselt und übertragen.
Schlüssel-Management wie bei asymmetrischen Verfahren - mit öffentlichen und geheimen Schlüsseln.
- Besser als ein öffentliches Verzeichnis sind Zertifikate.
- Das bedeutet aber eine drastische Komplikation des Protokolls!

Standardisiert in PKCS und PEM.

Realisiert u. a. in den Paketen PGP und SSL.

Beteiligte des Protokolls

Alice (als Nachrichtensender),
Bob (als Nachrichtenempfänger),
ungebeten: Eve (= Eavesdropper) als Angreifer –
- wichtige Rolle beim Sicherheitsnachweis!
zusätzlich: Trent (TTP = Trusted Third Party oder Treuhänder) –
- der das öffentliche Verzeichnis unterhält und seine Korrektheit garantiert,
- ebenfalls wichtige Rolle beim Sicherheitsnachweis!

Fazit: Bei kryptographischen Protokollen gibt es oft sehr viel mehr Teilnehmer, als man naiv annimmt.

Diffie-Hellman-Schlüsselaustausch (»DH«)

Eine andere (sogar ältere, aber immer noch aktuelle) Methode, spontan einen Schlüssel für eine symmetrische Chiffrierung auszutauschen, wurde von 1976 Diffie und Hellman vorgeschlagen:

Alice und Bob einigen sich (öffentlich) über eine Primzahl p und eine zugehörige Primitivwurzel a.
Alice erzeugt eine Zufallszahl x, bildet u = a^x mod p und sendet u an Bob.
Bob erzeugt eine Zufallszahl y, bildet v = a^y mod p und sendet v an Alice.
Alice berechnet k = v^x mod p, Bob berechnet k = u^y mod p.

Damit haben Alice und Bob ein gemeinsames Geheimnis k:

v^x kongruent zu a^xy kongruent zu u^y (mod p),

das als gemeinsamer Schlüssel (für eine symmetrisch chiffrierte Kommunikation) dienen kann.

Eigenschaften

Anstelle einer asymmetrischen Verschlüsselungsfunktion wird hierbei also eine Einweg-Funktion, die Exponentialfunktion in endlichen Körpern, benutzt.
Ein Lauscher kann nur die Zahlen u und v abfangen. Um daraus k, x oder y zu bestimmen, müsste er einen diskreten Logarithmus berechnen.
Im Gegensatz zu einem asymmetrischen Verfahren müssen sich die Kommunikationsteilnehmer synchronisieren - es gibt mehrere, zeitlich aufeinander abgestimmte Kommunikationsschritte.

Anmerkung: Der britische Geheimdienst CESG hatte das Verfahren schon spätestens 1974 gefunden (Ellis).

Aktiver Angriff auf DH (»der Mann in der Mitte«)

Obwohl die Basisfunktionen des DH-Verfahrens

Exponentiation als Einweg-Funktion,
Zufallserzeugung,
symmetrische Chiffre,

sicher sind, ist das Verfahren doch angreifbar:

Es ist sicher vor einer passiven Angreiferin (Eve), die nur abhört.
Es ist nicht sicher vor einem aktiven Angreifer, der als »Mann der Mitte« (`Man in the Middle', Mallory) im Kommunikationskanal sitzt und Nachrichten verfälschen kann.

Dieser geht dazu so vor:

Er kennt p und a, erzeugt selbst eine Zufallszahl z, bildet w = a^z mod p.
Er fängt u ab und schickt statt dessen w an Bob.
Er fängt v ab und schickt statt dessen w an Alice.
Danach hat er mit Alice den gemeinsamen Schlüssel k₁ = w^x = a^xz = u^z mod p
... und mit Bob den gemeinsamen Schlüssel k₂ = w^y = a^yz = v^z mod p.
Er kann dann die Nachricht von Alice lesen, evtl. ändern, umverschlüsseln und an Bob weiterleiten.

Aktiver Angriff auf asymmetrische und hybride Verschlüsselung

Ein analoger Angriff durch den Mann in der Mitte funktioniert, wenn bei der asymmetrischen oder hybriden Verschlüsselung die öffentlichen Schlüssel zuerst über die Kommunikationsverbindung ausgetauscht werden, genaueres siehe später.

Mögliche Abhilfen sind

das zentrale Schlüsselverzeichnis unter der Annahme, dass der Angreifer es nicht fälschen und den Nachrichtenverkehr zu ihm nicht kontrollieren kann -
- offensichtlich ohne weitere Vorkehrungen also eine schwache Maßnahme -,
die massenhafte Verbreitung des öffentliche Schlüssels unter der Annahme, dass der Angreifer nicht alle Exemplare kontrollieren kann -
- ebenfalls noch eine schwache Maßnahme -,
Zertifikate - eine Maßnahme mit erheblichem organisatorischem Zusatzaufwand.

Andere Protokolle zur Schlüsselvereinbarung

DH mit elliptischen Kurven
- einfachstes ECC-Verfahren –
... oder mit anderen Gruppen, in denen der Logarithmus nicht effizient berechenbar ist.
Quantenkryptographie [Bennett/Brassard 1984]
- basierend auf der Heisenbergschen Unschärferelation,
- Aufwand nicht lohnend, solange mathematische Verfahren noch sicher sind.

Vorlesung Datenschutz und Datensicherheit
Autor: Klaus Pommerening, 31. März 1999; letzte Änderung: 25. Juni 2007.
E-Mail an Pommerening »AT« imbei.uni-mainz.de.