Modellierung kryptographischer Protokolle

2b. Kryptographische Protokolle

Modellierung kryptographischer Protokolle

Definition

Kryptographische Protokolle sind Protokolle, bei denen kryptographische Transformationen der Nachrichten ausgeführt werden.

Sie müssen verwendet werden, sobald in einem offenen System eine der Grundforderungen der Verlässlichkeit verlangt wird:

Echtheit,
Verbindlichkeit,
Vertraulichkeit,
Einmaligkeit.

Kryptographische Protokolle können nicht die Verfügbarkeit schützen.

[Anonymität kann als Teil der Vertraulichkeit angesehen werden (Vertraulichkeit der Identität); ebenso Authentizität als Teil der Integrität (Integrität der Identität). Nichtabstreitbarkeit ist Teil der Verbindlichkeit.]

Wesentliche zusätzliche Design-Gesichtspunkte bei kryptographischen Protokollen

Wer sieht welche Nachrichten?
Wann?
Wer darf sie sehen?
Wer kann die Nachrichten ändern?
Wer vertraut wem?
Welche Angriffe auf das Protokoll sind möglich?
Mit welchen Ressourcen?
Was bewirken Protokollverstöße (z. B. Mogeln)?

»Vertrauen« bedeutet: Alles (oder ein spezifizierter Teil dessen) was A weiß, darf auch B wissen. Es ist ausgeschlossen, dass es hierüber zwischen den Beteiligten jemals zu einem Rechtsstreit kommen wird. -

Man sollte bei der Konstruktion eines kryptographischen Protokolls möglichst wenig Notwendigkeit für Vertrauen voraussetzen und dieses genau spezifizieren. [Vertrauen ist gut, Kontrolle ist besser. (Lenin) Verhindern ist noch besser. (K. P.)]

Schlüssel sind Informationen, mit deren Hilfe andere Informationen algorithmisch erschlossen werden können. (Das Erschließen von Informationen ist ein Spezialfall des Transformierens, also des Erzeugens.)

Beispiel: Wer k (den Schlüssel) kennt, kann m (den Klartext) bestimmen.

Alle Modellannahmen sind kritisch zu hinterfragen.

Typen von Angriffen

Passive Angriffe: Lauschangriff.

Aktive Angriffe: Fälschen von Nachrichten. Auch unterdrücken, erzeugen oder wiederholen (»replay«) von Nachrichten.

Angriffe durch Außenstehende (z. B. »Man in the middle«) oder Teilnehmer (»Cheater«, Mogler).

Angriffe durch Kooperation zwischen Teilnehmern untereinander oder zwischen Teilnehmern und Außenstehenden.

Mögliche Angriffsziele:

kryptographische Algorithmen (durch Kryptoanalyse),
Implementation der Algorithmen (Programmierfehler),
Fehler in der Spezifikation des Protokolls,
kryptographische Infrastruktur, Techniken und Geräte (z. B. Schlüsselerzeugung, PC-Tastatur).

Ferner sind Angriffe auf Teilnehmer (social engineering) oder auf die Verfügbarkeit möglich (DoS = Denial of Service oder Message Blocking).

Darsteller in kryptographischen Protokollen

A	Alice	Teilnehmerin jedes Protokolls
B	Bob	Zweiter Teilnehmer, falls benötigt
C	Carol	Dritte Teilnehmerin, falls benötigt
D	Dave	Vierter Teilnehmer, falls benötigt
...		(Weitere Teilnehmer bei Bedarf ad hoc)
E	Eve	Eavesdropper, passive Angreiferin
M	Mallory	Man in the Middle, aktiver Angreifer
N	Nancy	Notar, schwach vertrauenswürdig (bestätigt/beglaubigt, sonst ohne Macht)
T	Trent	Treuhänder, stark vertrauenswürdiger Vermittler (Trusted Arbitrator)

Durch die Annahme des mächtigen Treuhänders T lassen sich viele Protokolle deutlich vereinfachen, insbesondere wenn nur symmetrische Verschlüsselung verwendet wird - auf Kosten verstärker Vertrauensannahmen. (Vgl. den Ticket-Server bei Kerberos, also die Needham-Schroeder-Authentisierung).

Bei Authentisierungs- oder Zero-Knowledge-Protokollen werden Alice und Bob manchmal ersetzt durch

P	Peggy	Prover
V	Victor	Verifier, Kontrolleur

Vorteil dieser (semi-) formalisierten Rollenbesetzung: Man übersieht nicht so leicht Angriffsmöglichkeiten auf das Protokoll.

Modellierung eines kryptographischen Protokolls

S = Menge von Subjekten (Teilnehmern, z. B. Alice, Bob, ...)
D = Menge von (Daten-) Objekten (Nachrichten)

Zwischen verschiedenen Objekten können Beziehungen bestehen. (Z. B.: Objekt c entsteht durch AES-Verschlüsselung aus Objekt m mit Objekt k als Schlüssel - c = AES_k(m).)

T = Menge von Zeitpunkten (i. a. 0, 1, 2, ..., n, also ein Intervall natürlicher Zahlen, eine diskrete Zeitachse oder eine durchnummerierte Folge von Protokollschritten.)

Relationen (u. a.) (können auch zeitabhängig sein):

trusts	Teilmenge von S×S	»A vertraut B.«
sees	Teilmenge von S×D	»A sieht m.«
creates	Teilmenge von S×D	»A erzeugt m.«
transmits	Teilmenge von S×D×S	»A übermittelt m an B.«

Die Folge von Aktionen des Protokolls ist mit T indiziert und besteht aus Instanzen der Relationen creates oder transmits.

Modellannahmen (»Axiome«)

(Zur besseren Verständlichkeit nur semiformal aufgeschrieben.)

A erzeugt m ===> A sieht m.
A sieht m und A übermittelt m an B ===> B sieht m.
...

Weitere bei Bedarf, je nach Modell; evtl. ist es auch wichtig, Zeitpunkte zu berücksichtigen. Bei militärischen Einsatzbefehlen oder Aktienordern schadet es z. B. nicht, wenn der »Gegner« später die Nachricht sieht.

E = Eve, die passive Angreiferin, ist gekennzeichnet durch

A übermittelt m an B ===> E sieht m.

Es gibt kein kanonisches Modell für alle Zwecke. Und in jedem Einzelfall gibt es nicht das richtige Modell. Man sollte stets mehrere (alle?) Modelle betrachten, um möglichst viele Seiteneffekte zu erkennen. [Für Funktionsnachweise reicht, im Gegensatz zu Sicherheitsnachweisen, in der Regel ein Modell.]

Zu beweisen ist:

Wenn es um Vertraulichkeit geht, dass jedes Objekt nur von den dafür berechtigten Subjekten gesehen wird. [Bei einfachen Protokollen ist dabei oft die gesamte Zeitdauer zusammenfassbar, so dass insgesamt nur die Einhaltung der Zugriffsmatrix nachzuweisen ist.]
Wenn es um Echtheit geht, dass jedes Subjekt auch wirklich jedes Objekt sieht, das es sehen soll, und zwar in unveränderter Form.
Wenn es um Verbindlichkeit geht, dass ein Subjekt ein bestimmtes Objekt gesehen (oder erzeugt) hat.
Wenn es um Einmaligkeit geht, dass ein Subjekt von einem Objekt, das es gesehen hat, keine Kopie erzeugt hat.

Dabei wird die Sicherheit der kryptographischen Grundfunktionen und der Implementation angenommen.

»Gewöhnliche« formale Spezifikationsmethoden (aus dem Software-Engineering)

sind vom Ansatz her nur zum Beweis der Korrektheit geeignet (z. B., dass B eine Nachricht m wirklich erhält),
nicht aber zum Beweis der Sicherheit (z. B., dass niemand sonst ein Datenobjekt sehen kann).

Z. B. sind Angreifer und Mogler mit diesen Methoden nicht modellierbar.

Beispiel: Hybride Verschlüsselung

Vorlesung Datenschutz und Datensicherheit, Johannes-Gutenberg-Universität Mainz
Autor: Klaus Pommerening, 31. März 1999; letzte Änderung: 3. Februar 2002.
E-Mail an Pommerening@imsd.uni-mainz.de.