Kryptographische Protokolle: Hybride Verschlüsselung

2b. Kryptographische Protokolle

2b.1 Hybride Verschlüsselung

Ablauf der hybriden Verschlüsselung

Eigenschaften

Hybride Verschlüsselung verbindet die Vorteile von

symmetrischen Verfahren (Geschwindigkeit),
asymmetrischen Verfahren (spontane Kommunikation),

und vermeidet die jeweiligen Nachteile.

Methodik

Kommunikation symmetrisch verschlüsselt -
- mit einmaligem zufälligem Sitzungsschlüssel,
- dieser zu Beginn der Sitzung asymmetrisch verschlüsselt und übertragen.
Schlüssel-Management wie bei asymmetrischen Verfahren - mit öffentlichen und geheimen Schlüsseln.

Standardisiert in PKCS und PEM.

Realisiert u. a. in den Paketen PGP und SSL.

Diffie-Hellman-Schlüsselaustausch (»DH«)

Eine andere (sogar ältere, aber immer noch aktuelle) Methode, spontan einen Schlüssel für eine symmetrische Chiffrierung auszutauschen, wurde von 1976 Diffie und Hellman vorgeschlagen:

Alice und Bob einigen sich (öffentlich) über eine Primzahl p und eine zugehörige Primitivwurzel a.
Alice erzeugt eine Zufallszahl x, bildet u = a^x mod p und sendet u an Bob.
Bob erzeugt eine Zufallszahl y, bildet v = a^y mod p und sendet v an Alice.
Alice berechnet k = v^x mod p, Bob berechnet k = u^y mod p.

Damit haben Alice und Bob ein gemeinsames Geheimnis k:

v^x kongruent zu a^xy kongruent zu u^y (mod p),

das als gemeinsamer Schlüssel dienen kann.

Eigenschaften

Anstelle einer asymmetrischen Verschlüsselungsfunktion wird hierbei also eine Einweg-Funktion, die Exponentiation in endlichen Körpern, benutzt.
Ein Lauscher kann nur die Zahlen u und v abfangen. Um daraus k, x oder y zu bestimmen, müsste er einen diskreten Logarithmus berechnen.
Im Gegensatz zu einem asymmetrischen Verfahren müssen sich die Kommunikationsteilnehmer synchronisieren - es gibt mehrere, zeitlich aufeinander abgestimmte Kommunikationsschritte.
Der britische Geheimdienst hatte das Verfahren schon 1974 gefunden.

Aktiver Angriff auf DH (»der Mann in der Mitte«)

Obwohl die Bestandteile des DH-Verfahrens

Exponentiation als Einweg-Funktion,
Zufallserzeugung,
symmetrische Chiffre,

sicher sind, ist das Verfahren doch angreifbar:

Es ist sicher vor einem passiven Angreifer, der nur abhört.
Es ist nicht sicher vor einem aktiven Angreifer, der als »Mann der Mitte« (`Man in the Middle') im Kommunikationskanal sitzt und Nachrichten verfälschen kann.

Dieser geht dazu so vor:

Er kennt p und a, erzeugt selbst eine Zufallszahl z, bildet w = a^z mod p.
Er fängt u ab und schickt statt dessen w an Bob.
Er fängt v ab und schickt statt dessen w an Alice.
Danach hat er mit Alice den gemeinsamen Schlüssel k₁ = w^x = a^xz = u^z mod p
… und mit Bob den gemeinsamen Schlüssel k₂ = w^y = a^yz = v^z mod p.
Er kann dann die Nachricht von Alice lesen, evtl. ändern, umverschlüsseln und an Bob weiterleiten.

Aktiver Angriff auf asymmetrische und hybride Verschlüsselung

Ein analoger Angriff durch den Mann in der Mitte funktioniert, wenn bei der asymmetrischen oder hybriden Verschlüsselung die öffentlichen Schlüssel zuerst über die Kommunikationsverbindung ausgetauscht werden, genaueres siehe später. Mögliche Abhilfen sind

das zentrale Schlüsselverzeichnis unter der Annahme, dass der Angreifer es nicht fälschen und den Nachrichtenverkehr zu ihm nicht kontrollieren kann - offensichtlich also eine schwache Maßnahme -,
die massenhafte Verbreitung des öffentliche Schlüssels unter der Annahme, dass der Angreifer nicht alle Exemplare kontrollieren kann - ebenfalls noch eine schwache Maßnahme -,
Zertifikate - eine Maßnahme mit erheblichem organisatorischem Zusatzaufwand.

Vorlesung Datenschutz und Datensicherheit, Johannes-Gutenberg-Universität Mainz
Autor: Klaus Pommerening, 31. März 1999; letzte Änderung: 9. Dezember 2001.
E-Mail an Pommerening@imsd.uni-mainz.de.