2b. Kryptographische Protokolle
2b.1 Hybride Verschlüsselung
Ablauf der hybriden Verschlüsselung
Eigenschaften
Hybride Verschlüsselung verbindet die Vorteile von
- symmetrischen Verfahren (Geschwindigkeit),
- asymmetrischen Verfahren (spontane Kommunikation),
und vermeidet die jeweiligen Nachteile.
Methodik
- Kommunikation symmetrisch verschlüsselt -
- mit einmaligem zufälligem Sitzungsschlüssel,
- dieser zu Beginn der Sitzung asymmetrisch verschlüsselt und
übertragen.
- Schlüssel-Management wie bei asymmetrischen Verfahren -
mit öffentlichen und geheimen Schlüsseln.
Standardisiert in PKCS
und PEM.
Realisiert u. a. in den Paketen PGP und
SSL.
Diffie-Hellman-Schlüsselaustausch (»DH«)
Eine andere (sogar ältere, aber immer noch aktuelle) Methode, spontan einen Schlüssel für eine symmetrische Chiffrierung auszutauschen, wurde von 1976 Diffie und Hellman vorgeschlagen:
- Alice und Bob einigen sich (öffentlich) über eine Primzahl p
und eine zugehörige Primitivwurzel a.
- Alice erzeugt eine Zufallszahl x, bildet u = ax
mod p und sendet u an Bob.
- Bob erzeugt eine Zufallszahl y, bildet v = ay
mod p und sendet v an Alice.
- Alice berechnet k = vx mod p,
Bob berechnet k = uy mod p.
Damit haben Alice und Bob ein gemeinsames Geheimnis k:
vx kongruent zu axy
kongruent zu uy (mod p),
das als gemeinsamer Schlüssel dienen kann.
Eigenschaften
- Anstelle einer asymmetrischen Verschlüsselungsfunktion wird hierbei
also eine Einweg-Funktion, die Exponentiation in endlichen Körpern,
benutzt.
- Ein Lauscher kann nur die Zahlen u und v abfangen.
Um daraus k, x oder y zu bestimmen, müsste
er einen diskreten Logarithmus berechnen.
- Im Gegensatz zu einem asymmetrischen Verfahren müssen sich die
Kommunikationsteilnehmer synchronisieren - es gibt mehrere, zeitlich
aufeinander abgestimmte Kommunikationsschritte.
- Der britische Geheimdienst hatte das Verfahren schon 1974 gefunden.
Aktiver Angriff auf DH (»der Mann in der Mitte«)
Obwohl die Bestandteile des DH-Verfahrens
- Exponentiation als Einweg-Funktion,
- Zufallserzeugung,
- symmetrische Chiffre,
sicher sind, ist das Verfahren doch angreifbar:
- Es ist sicher vor einem passiven Angreifer, der nur abhört.
- Es ist nicht sicher vor einem aktiven Angreifer, der als »Mann der Mitte«
(`Man in the Middle') im Kommunikationskanal sitzt und Nachrichten
verfälschen kann.
Dieser geht dazu so vor:
- Er kennt p und a, erzeugt selbst eine Zufallszahl
z, bildet w = az mod p.
- Er fängt u ab und schickt statt dessen w an
Bob.
- Er fängt v ab und schickt statt dessen w an
Alice.
- Danach hat er mit Alice den gemeinsamen Schlüssel
k1 = wx = axz
= uz mod p
- … und mit Bob den gemeinsamen Schlüssel
k2 = wy = ayz
= vz mod p.
- Er kann dann die Nachricht von Alice lesen, evtl. ändern,
umverschlüsseln und an Bob weiterleiten.
Aktiver Angriff auf asymmetrische und hybride Verschlüsselung
Ein analoger Angriff durch den Mann in der Mitte funktioniert, wenn bei der asymmetrischen oder hybriden Verschlüsselung die öffentlichen Schlüssel zuerst über die Kommunikationsverbindung ausgetauscht werden, genaueres siehe später.
Mögliche Abhilfen sind
- das zentrale Schlüsselverzeichnis unter der Annahme, dass der
Angreifer es nicht fälschen und den Nachrichtenverkehr zu ihm
nicht kontrollieren kann - offensichtlich also eine schwache Maßnahme -,
- die massenhafte Verbreitung des öffentliche Schlüssels unter
der Annahme, dass der Angreifer nicht alle Exemplare kontrollieren
kann - ebenfalls noch eine schwache Maßnahme -,
- Zertifikate - eine Maßnahme mit erheblichem
organisatorischem Zusatzaufwand.
Vorlesung Datenschutz und Datensicherheit,
Johannes-Gutenberg-Universität Mainz
Autor: Klaus Pommerening, 31. März 1999; letzte Änderung: 9. Dezember 2001.
E-Mail an
Pommerening@imsd.uni-mainz.de.