Cryptography Reference
In-Depth Information
seinem privaten Schlüssel entschlüsseln. Für eine solche vertrauliche Kommunikation ist
es insbesondere nicht mehr nötig, zuvor über einen
sicheren
Kanal einen
geheimen
Schlüs-
sel mit dem Kommunikationspartner ausgetauscht zu haben. Es bleibt aber das Problem,
dass man den
öffentlichen
Schlüssel des Kommunikationspartners benötigt. Diesem zu-
nächst vielleicht trivial anmutenden Problem, welchem wir bisher auch keine besondere
Aufmerksamkeit geschenkt haben, das sich in der Praxis bei genauerem Hinsehen aber
durchaus als nicht-trivial erweist, wollen wir uns in diesem Abschnitt widmen. Digitale
Signaturen werden bei der Lösung dieses Problems eine zentrale Rolle spielen.
10.6.1
Das Bindungsproblem
Zunächst halten wir fest, dass es für Alice, die eine vertrauliche Nachricht an Bob schicken
möchte, unabdingbar ist, zu wissen, dass der Schlüssel, den sie für Bobs öffentlichen
Schlüssel hält und mit dem sie die vertrauliche Nachricht verschlüsselt, auch tatsächlich
Bob gehört. Würde dieser Schlüssel nämlich zu Charlie gehören, dann könnte Charlie den
Chiffretext abfangen und entschlüsseln und so die eigentlich vertrauliche Nachricht lesen.
Charlie könnte die Nachricht des Weiteren mit dem tatsächlichen öffentlichen Schlüssel
von Bob verschlüsseln und an Bob weiterleiten, so dass nicht auffällt, dass Charlie die
Nachricht mitgelesen hat. Ein Angreifer wie Charlie wird im Englischen auch treffend
man-in-the-middle (MITM)
genannt.
Nicht nur für die asymmetrische Verschlüsselung, sondern auch für digitale Signaturen
ist es wichtig, dass Alice weiß, wem ein bestimmter öffentlicher Schlüssel gehört. Nehmen
wir dazu wie oben an, dass Alice einen Schlüssel
k
, der eigentlich Charlies öffentlicher
Schlüssel ist, für Bobs öffentlichen Schlüssel hält. Dann kann Charlie Nachrichten signie-
ren, von denen Alice glaubt (da die Verifikation mit
k
jeweils erfolgreich ist), dass sie von
Bob signiert wurden. Dies hat, wie man sich leicht vorstellen kann, sowohl für Alice als
auch für Bob u. U. sehr unangenehme Folgen.
Eine Zuordnung eines öffentlichen Schlüssels zu einem Kommunikationsteilnehmer nen-
nen wir im Folgenden eine
Schlüsselbindung
. Sie heißt
gültig
, wenn der öffentliche Schlüs-
sel tatsächlich zum Kommunikationsteilnehmer »gehört«. Das Problem, welches wir
Bin-
dungsproblem
nennen wollen, ist also, festzustellen, ob eine Schlüsselbindung gültig ist.
Die Formulierung dieses Problems ist an dieser Stelle bewusst vage gewählt, da es, wie
im Folgenden weiter diskutiert, zwei unterschiedliche Interpretationen - eine starke und
eine schwache - davon gibt, was »gehört« bedeuten kann.
Starke Schlüsselbindung. Die starke Interpretation ist, dass
ein öffentlicher Schlüs-
sel einem Kommunikationsteilnehmer gehört
, falls der Kommunikationsteilnehmer den
zugehörigen privaten Schlüssel besitzt, d. h., kennt oder (exklusiven) Zugriff darauf hat,
etwa in Form einer Chipkarte, auf der der private Schlüssel gespeichert ist.
Wie stellt ein Kommunikationsteilnehmer, sagen wir Alice, nun fest, ob ein öffentlicher
Schlüssel
k
einem anderen Kommunikationsteilnehmer, sagen wir Bob, im beschriebenen
Sinne gehört? Dazu muss Alice zwei Dinge tun:
1. Zunächst muss Alice sicherstellen, dass tatsächlich Bob (und nicht etwa ein anderer
Kommunikationsteilnehmer) behauptet, dass
k
sein öffentlicher Schlüssel ist. Hier
ist ein sogenannter
authentischer Kommunikationskanal
nötig, über den Bob Alice
