2b. Kryptographische Protokolle
2b.1 Hybride Verschlüsselung
(als sehr einfaches Beispiel)
Ablauf der hybriden Verschlüsselung
Eigenschaften
Hybride Verschlüsselung verbindet die Vorteile von
- symmetrischen Verfahren (Geschwindigkeit),
- asymmetrischen Verfahren (spontane Kommunikation),
und vermeidet die jeweiligen Nachteile.
Methodik
- Eigentliche Kommunikation symmetrisch verschlüsselt -
- mit einmaligem zufälligem Sitzungsschlüssel,
- dieser wird zu Beginn der Sitzung asymmetrisch verschlüsselt und
übertragen.
- Schlüssel-Management wie bei asymmetrischen Verfahren -
mit öffentlichen und geheimen Schlüsseln.
- Besser als ein öffentliches Verzeichnis sind
Zertifikate.
- Das bedeutet aber eine drastische Komplikation des Protokolls!
Standardisiert in PKCS
und PEM.
Realisiert u. a. in den Paketen PGP und
SSL.
Beteiligte des Protokolls
- Alice (als Nachrichtensender),
- Bob (als Nachrichtenempfänger),
- ungebeten: Eve (= Eavesdropper) als Angreifer –
- wichtige Rolle beim Sicherheitsnachweis!
- zusätzlich: Trent (TTP = Trusted Third Party oder Treuhänder) –
- der das öffentliche Verzeichnis unterhält und seine Korrektheit
garantiert,
- ebenfalls wichtige Rolle beim Sicherheitsnachweis!
Fazit: Bei kryptographischen Protokollen gibt es
oft sehr viel mehr Teilnehmer, als man naiv annimmt.
Diffie-Hellman-Schlüsselaustausch (»DH«)
Eine andere (sogar ältere, aber immer noch aktuelle) Methode,
spontan einen Schlüssel für eine symmetrische Chiffrierung auszutauschen,
wurde von 1976 Diffie und Hellman vorgeschlagen:
- Alice und Bob einigen sich (öffentlich) über eine Primzahl p
und eine zugehörige Primitivwurzel a.
- Alice erzeugt eine Zufallszahl x, bildet
u = ax mod p und sendet
u an Bob.
- Bob erzeugt eine Zufallszahl y, bildet
v = ay mod p und sendet
v an Alice.
- Alice berechnet k = vx mod p,
Bob berechnet k = uy mod p.
Damit haben Alice und Bob ein gemeinsames Geheimnis k:
vx kongruent zu axy
kongruent zu uy (mod p),
das als gemeinsamer Schlüssel (für eine symmetrisch chiffrierte
Kommunikation) dienen kann.
Eigenschaften
- Anstelle einer asymmetrischen Verschlüsselungsfunktion wird hierbei
also eine Einweg-Funktion, die Exponentialfunktion in endlichen Körpern,
benutzt.
- Ein Lauscher kann nur die Zahlen u und v abfangen.
Um daraus k, x oder y zu bestimmen, müsste
er einen diskreten Logarithmus berechnen.
- Im Gegensatz zu einem asymmetrischen Verfahren müssen sich die
Kommunikationsteilnehmer synchronisieren - es gibt mehrere, zeitlich
aufeinander abgestimmte Kommunikationsschritte.
Anmerkung: Der britische Geheimdienst CESG hatte das Verfahren schon
spätestens 1974 gefunden (Ellis).
Aktiver Angriff auf DH (»der Mann in der Mitte«)
Obwohl die Basisfunktionen des DH-Verfahrens
- Exponentiation als Einweg-Funktion,
- Zufallserzeugung,
- symmetrische Chiffre,
sicher sind, ist das Verfahren doch angreifbar:
- Es ist sicher vor einer passiven Angreiferin (Eve), die nur abhört.
- Es ist nicht sicher vor einem aktiven Angreifer, der als
»Mann der Mitte« (`Man in the Middle', Mallory) im Kommunikationskanal sitzt
und Nachrichten verfälschen kann.
Dieser geht dazu so vor:
- Er kennt p und a, erzeugt selbst eine Zufallszahl
z, bildet w = az mod p.
- Er fängt u ab und schickt statt dessen w an
Bob.
- Er fängt v ab und schickt statt dessen w an
Alice.
- Danach hat er mit Alice den gemeinsamen Schlüssel
k1 = wx = axz
= uz mod p
- ... und mit Bob den gemeinsamen
Schlüssel k2 = wy
= ayz = vz mod p.
- Er kann dann die Nachricht von Alice lesen, evtl. ändern,
umverschlüsseln und an Bob weiterleiten.
Aktiver Angriff auf asymmetrische und hybride Verschlüsselung
Ein analoger Angriff durch den Mann in der Mitte funktioniert, wenn
bei der asymmetrischen oder hybriden Verschlüsselung die öffentlichen
Schlüssel zuerst über die Kommunikationsverbindung ausgetauscht werden,
genaueres siehe später.
Mögliche Abhilfen sind
- das zentrale Schlüsselverzeichnis unter der Annahme, dass der
Angreifer es nicht fälschen und den Nachrichtenverkehr zu ihm
nicht kontrollieren kann -
- offensichtlich ohne weitere Vorkehrungen also eine schwache
Maßnahme -,
- die massenhafte Verbreitung des öffentliche Schlüssels unter
der Annahme, dass der Angreifer nicht alle Exemplare kontrollieren
kann -
- ebenfalls noch eine schwache Maßnahme -,
- Zertifikate - eine Maßnahme mit erheblichem
organisatorischem Zusatzaufwand.
Andere Protokolle zur Schlüsselvereinbarung
- DH mit elliptischen Kurven
- einfachstes ECC-Verfahren –
- ... oder mit anderen Gruppen, in denen der Logarithmus nicht
effizient berechenbar ist.
- Quantenkryptographie [Bennett/Brassard 1984]
- basierend auf der Heisenbergschen Unschärferelation,
- Aufwand nicht lohnend, solange mathematische Verfahren noch
sicher sind.
Vorlesung Datenschutz und Datensicherheit
Autor: Klaus Pommerening, 31. März 1999;
letzte Änderung: 25. Juni 2007.
E-Mail an Pommerening »AT« imbei.uni-mainz.de.