Cryptography Reference
In-Depth Information
7
Grundlegendes
Im zweiten Teil des Buches wollen wir uns mit dem folgenden Szenarium beschäftigen.
Szenarium 5.
Alice möchte Nachrichten an Bob senden, so dass i) die Nachrichten
unverändert bei Bob ankommen bzw. Bob merkt, wenn eine Nachricht manipuliert wurde
(Nachrichtenintegrität) und ii) Bob davon ausgehen kann, dass die Nachrichten von Alice
stammen (Nachrichtenauthentizität). Eva kann Nachrichten, die zwischen Alice und Bob
gesendet werden, abhören und abändern bzw. völlig neue Nachrichten unter falschem
Namen an Alice und Bob schicken.
Die beiden Aspekte - Nachrichtenintegrität und -authentizität - können kaum vonein-
ander getrennt werden. Einerseits macht es nur Sinn, von der (böswilligen) Manipulation
einer Nachricht zu sprechen, wenn klar ist, von wem die Nachricht ursprünglich stammt.
Andererseits setzt Nachrichtenauthentizität Nachrichtenintegrität voraus. Wir werden
diese beiden Begriffe im Rest des Buches deshalb nicht unterscheiden, sondern meist
einfach von Nachrichtenauthentizität sprechen.
Szenarium 5 ist klar abzugrenzen von den Szenarien, die wir im ersten Teil des Buches
behandelt haben, als es um vertrauliche Nachrichtenübertragung ging: Es ist zunächst
nicht das Ziel, Eva, die die von Alice an Bob gesendeten Nachrichten abfangen kann,
daran zu hindern, diese Nachrichten zu lesen. Sie sollte nur nicht in der Lage sein, diese
Nachrichten unbemerkt abzuändern, oder neue Nachrichten an Bob zu schicken, die Bob
als von Alice kommend akzeptiert. Wie wollen hier außer Acht lassen, dass Eva eine
möglicherweise für Bob gedachte Nachricht abfängt und nicht an Bob weiterleitet oder
eine solche Nachricht wiederholt Bob zustellt. Diese und verwandte Probleme fallen in
den Bereich der kryptographischen Protokolle, welche über den Rahmen dieses Buches
hinausgehen.
Es sei betont, dass die in unserem Sinne sicheren asymmetrischen und symmetrischen
Kryptoschemen nicht notwendigerweise Nachrichtenauthentizität gewährleisten. Zum Bei-
spiel ist es sehr leicht, Nachrichten, die in der R-CTR-Betriebsart verschlüsselt wurden,
gezielt abzuändern. In der R-CTR-Betriebsart gilt nämlich:
E
(
x, k
)
⊕
0
l
x
=
E
(
x
x
,k
)
,
⊕
(
∗
)
wobei
l
die betrachtete Blocklänge bezeichnet. Nehmen wir an, dass wir wissen, dass es
sich bei
x
um eine Überweisung handelt, dass Überweisungen üblicherweise aus insgesamt
1024 Bits bestehen und dass der Überweisungsbetrag, sagen wir ohne Cent-Angaben, in
den letzten 30 Bits gespeichert ist. Vermuten wir zudem, dass dieser Betrag im Fall
von
x
weniger als eine Million Euro beträgt, so kann man, gemäß (
), bei gegebener
verschlüsselter Überweisung
E
(
x, k
)
leicht eine neue verschlüsselte Überweisung erzeugen,
mit einem Überweisungsbetrag von über einer Million Euro, indem man
E
(
x, k
)
⊕
0
l
x
,
mit
x
=0
1003
10
20
, berechnet. Es gilt also grundsätzlich:
∗
