6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde

Transkript

1 6.3 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt, dass eine Nachricht, die angeblich von Alice stammt, tatsächlich von Alice ist. (Die Integrität allein leistet das nicht: jeder kann die Nachricht Herzliche Grüße, Deine Alice schicken.) ITS-6.3 1

2 6.3.1 Symmetrische Verschlüsselung gewährleistet Geheimhaltung weil eine verschlüsselte Nachricht nicht ohne Kenntnis des geheimen Schlüssels dechiffriert werden kann; Integrität weil eine verschlüsselte Nachricht nicht ohne Kenntnis des geheimen Schlüssels so modifiziert werden kann, dass die Dechiffrierung sinnvollen Klartext ergibt; partielle Authentizität weil eine verschlüsselte Nachricht, deren Dechiffrierung sinnvollen Klartext liefert, nur von jemandem stammen kann, der den geheimen Schlüssel kennt, ITS-6.3 2

3 Achtung: Abhilfe: Integrität und Authentizität sind eventuell bedroht durch Wiedereinspielen (replay) zuvor abgehörter (verschlüsselter) Nachrichten oder Nachrichtenteile. Nachricht mit Zeitangabe versehen ( 6.4.1) oder Nachrichten durchnumerieren; Rückkoppelung gemäß Verbleibende Schwäche: Geheimer Schlüssel ist Gruppenschlüssel von 2 (oder mehr) Partnern: Verbindlichkeit (1.1 ) ist daher nicht gewährleistet: Bob: Ich habe von Alice diese Nachricht erhalten ist weder beweisbar noch widerlegbar. ITS-6.3 3

4 6.3.2 Asymmetrische Verschlüsselung ermöglicht Entscheidung für oder oder Geheimhaltung Authentizität beides. Beachte : Chiffrierung mit öffentlichem Schlüssel garantiert Geheimhaltung und Integrität, aber nicht Authentizität: Wenn Bob Herzliche Grüße von Deiner Alice dechiffriert, ist nicht gesichert, dass die Nachricht tatsächlich von Alice kommt. (Dies impliziert auch das Fehlen von Verbindlichkeit.) ITS-6.3 4

5 Beachte : Für das RSA-Verfahren gilt wegen der Vertauschbarkeit von öffentlichem und privatem Schlüssel: Chiffrierung mit privatem Schlüssel (!) garantiert Authentizität und Integrität, aber nicht Geheimhaltung: Jeder kann die Nachricht mit dem öffentlichen Schlüssel dechiffrieren. Ergibt sich sinnvoller Text, ist die Nachricht authentisch. Bemerkung: authentisch bedeutet hier von demjenigen, der den geheimen Schlüssel kennt (sofern nur einer ihn kennt). Herzliche Grüße von Deiner Alice stammt nur dann wirklich von Alice, wenn der für die Dechiffrierung verwendete öffentliche Schlüssel wirklich von Alice ist! ITS-6.3 5

6 Beachte : Nicht jedes asymmetrische Verfahren erlaubt dies Vertauschbarkeit der Schlüssel ist Voraussetzung. Knapsack-Verschlüsselung (6.2.1 ) ist nicht geeignet: Blöcke M im Bereich [0,2 n 1 ] werden zu C = A M chiffriert; C kann aber größer als 2 n werden (Beispiel in 6.2.1!); damit gibt es in [0, max C] viele Zahlen, die keine gültigen Geheimtexte sind, für die es also keine Lösung von C = A M gibt, die also nicht als Klartexte betrachtet und mit dem geheimen Schlüssel chiffriert werden können! Beispiel: ITS-6.3 6

7 Beispiel (6.2.1!): A = u = 20 w = 7 w 1 = 3 geheim A = öffentlich Vertauschte Rollen: C ist Klartext, M ist Geheimtext Klartext: C = d.h. C = 9 Chiffrieren: C' = w 1 C mod u = 3 * 9 mod 20 = 7 und damit Lösung M von 7 = A M bestimmen (d.h. gewünschter Geheimtext für den Klartext C ) Es existiert aber keine Lösung, also ist C nicht chiffrierbar! ITS-6.3 7

8 RSA: E A [M] = mit dem öffentlichen Schlüssel von A chiffriertes M D A [M] = mit dem geheimen Schlüssel von A signiertes M Geheime und authentische Nachricht M von A an B zwei Möglichkeiten: A C = E B [ D A [M] ] B M = E A [ D B [C] ], d.h. C dechiffrieren, dann verifizieren entspricht unterschriebenes Dokument in verschlossenem Kuvert C = D A [ E B [M] ] M = D B [ E A [C] ] A B entspricht Dokument in verschlossenem, unterschriebenem Kuvert ITS-6.3 8

9 6.3.3 Digitale Unterschriften Reale Welt: Authentische Unterschrift unter Dokument reicht sofern untrennbar mit dem Text verbunden Im Rechner: Asymmetrische Verschlüsselung ist aufwendig... Digitale Unterschrift, Digitale Signatur (digital signature) unter eine Nachricht M: A berechnet Hashcode H[M] (digest, hash code) nicht M, sondern nur H[M] wird mit D A signiert: D A [ H[M] ] heißt digitale Unterschrift von A unter M H ist eine Einbahn-Funktion, gewöhnlich eine Hash-Funktion mit einem Hash-Wert in der Größenordnung von 128 Bits. ITS-6.3 9

10 Terminologie: Alice chiffriert eine Nachricht an Bob mit dem öffentlichen Schlüssel von Bob. Bob dechiffriert die Nachricht mit seinem privaten Schlüssel. Alice signiert eine Nachricht an Bob mit H und ihrem privaten Schlüssel. Bob verifiziert die Nachricht mit H und dem öffentlichen Schlüssel von Alice. ITS

11 Sichere Hash-Funktionen Die H müssen so beschaffen sein, dass es unmöglich ist genauer: mit realistischem Rechenaufwand nicht leistbar zu gegebenem Hashwert x = H[m] mehre sinnvolle Originale zu finden zwei oder mehr Werte zu finden, die den gleichen Hashwert haben Beispiele: MD5 (message digest 5) [Rivest], 128-bit hash code SHA-1 (secure hash algorithm 1) [NSA/NIST], 160-bit hash code ITS

12 Authentische Nachrichtenübertragung ( A, M, D A [ H[M] ] ) A B überträgt Nachricht mit signiertem Hashcode empfängt (a,m,s) und verifiziert die Unterschrift durch Prüfung von H[m] = E a [s]? Beachte: Anders als bei einem unterschriebenen Papierdokument ist eine "physische Koppelung" von Nachricht und Unterschrift nicht erforderlich ITS

13 bei unvorsichtigem Umgang Bedrohung der Geheimhaltung mit signierten Nachrichten statt signierten Hashcodes: A (A, E B [D A [M]]) B wird von X abgefangen X (X, E B [D A [M]]) B dechiffriert E B [ D A [M]], verifiziert D A [M] mit E X, d.h. erhält E X [D A [M]] = M!! und quittiert dies unbesehen mit X (B, E X [M ]) ITS B

14 X (B, E X [M ]) B dechiffriert E X [M ], erhält damit M = E X [D A [M]], dechiffriert nochmals, verifiziert D A [M] und erhält damit M. Diese Verletzung der Geheimhaltung ist vermeidbar, wenn jeder Kommunikationspartner für Geheimhaltung und Authentizität verschiedene Schlüsselpaare einsetzt: ITS

15 S A = privater Schlüssel zum Signieren V A = zugehöriger Schlüssel zum Verifizieren A (A, E B [S A [M]]) B wird von X abgefangen X (X, E B [S A [M]]) B dechiffriert E B [ S A [M]], verifiziert S A [M] mit V X, d.h. erhält V X [S A [M]] = M!! und quittiert dies unbesehen mit X (B, E X [M ]) ITS B

16 X (B, E X [M ]) B dechiffriert E X [M ] : D X [E X [M']] erhält damit M = V X [S A [M]], "dechiffriert" dies nochmals: D X [V X [S A [M]]] aber das ist nicht S A [M], weil D X und V X nicht zusammengehören! ITS

17 Message Authentication Codes (MAC) ermöglichen Integrität / Authentizität bei öffentlicher Nachrichtenübertragung innerhalb einer Gruppe von 2 oder mehr Teilnehmern unter Verwendung eines geheimen Gruppenschlüssels K MAC = digitale Gruppenunterschift H K [M] mit parametrisierter Hashfunktion H K A (M, H K [M]) B empfängt (m,h) und verifiziert mit H K [m] = h? Z.B. H K [M] = letzter Block bei DES-Chiffrierung mit CBC oder (schneller) H K [M] = H[K M K] mit MD5 o.ä. oder..... ITS

18 Digital Signature Standard (DSS) (NIST 1994) arbeitet mit Hash-Verfahren SHA-1 ( ) und mit asymmetrisches Signier-Verfahren DSA ( RSA) (Digital Signature Algorithm) (nicht für Verschlüsselung!) DSA: Sicherheit basiert auf der Schwierigkeit, diskrete Logarithmen zu berechnen: welches x löst a x mod n = b? (vgl. Schwierigkeit eines Klartextangriffs auf C = M d mod n ) ITS