Cryptography Reference
In-Depth Information
verwenden und nach Gebrauch von der Liste zu streichen. Die Reihenfolge war anfangs „von
Anfang bis Ende“ und wird inzwischen zur verbesserten Sicherheit indiziert (iTANs).
Passwort-Liste mittels Einwegfunktion
Eine Liste von Passwörtern kann elegant durch eine Einwegfunktion bzw. Hash-Funktion h
implementiert werden. Ein Kunde wählt eine Zufallszahl r
0
und berechnet
r r)
i
, ... n
(5.1-2)
i
i 1
Er geht zum Bankschalter, weist sich durch eine ID-Karte aus und übergibt der Bank die letzte
Zahl r
n
(z.B. r
1000
). Jetzt kann er die Zahlen r
999
, r
998
, r
997
, ... in umgekehrter Reihenfolge als
Einmal-Passwort benutzen. Die Bank kann r
999
aus r
1000
zwar nicht berechnen, aber mittels
r
1000
=f(r
999
) verifizieren. Bei Benutzung der Zahlenfolge r
999
, r
998
, r
997
, ... als Einmal-Passwort
merkt sich die Bank jeweils das letzte Passwort r
i
und kann damit das nächste Passwort r
i1
verifizieren.
i
r
h(r
),
i
n, n
1, ... 2, 1
i 1
Das nächste Passwort in der Reihenfolge „i=n, n1, ... 1“ kann nur der Kunde ermitteln, der
das Geheimnis r
0
kennt. Ein Angreifer müsste die Einwegfunktion von (5.1-2) in der schwieri-
gen Richtung (r
i1
aus r
i
) lösen, was praktisch nicht durchführbar ist.
Verschlüsseltes Passwort mit Sequenznummer oder Zeitstempel
Variable Passwörter können auch erzeugt werden, indem ein festes Passwort zusammen mit
einer Sequenznummer i verschlüsselt wird. Eine Liste von Passwörtern braucht dann nicht
vorher übertragen zu werden.
*
PW
f (i, PW ),
i
1, 2, ...
(5.1-3)
A,i
k
A
Das verschlüsselte Passwort PW
A,i
*
stammt von Alice, das sie z.B. an Bob sendet. Zwischen
Alice und Bob muss ein geheimer (symmetrischer) Schlüssel k vereinbart worden sein. Jede
Sequenznummer i und damit jedes verschlüsselte Passwort wird nur einmal verwendet.
Alice und Bob müssen die zuletzt benutzte Sequenznummer i speichern. Sie können sich dies
ersparen, wenn statt der Sequenznummer ein Zeitstempel t
i
verwendet wird.
*
PW
f (t , PW ),
i
1, 2, ...
(5.1-4)
A,i
k
i
A
Sender und Empfänger benötigen dazu hinreichend genaue Uhren. Wenn ein Angreifer ein
Passwort mit Zeitstempel verzögert, dann kann dies der Empfänger bemerken.
Ein Angreifer hat keinen Nutzen aus abgehörten Einmal-Passwörtern, weil sie bei der nächsten
Kommunikation nicht mehr gültig sind. Wenn er jedoch als „Man-in-the-Middle“ die Kommu-
nikation unterbrechen kann, ehe das Einmal-Passwort die verifizierende Partei erreicht, dann
kann der Angreifer sich unter falscher Identität authentisieren.
Aus Protokollsicht sind Passwortverfahren unidirektionale und triviale Protokolle. Dagegen
garantieren Zweiwege-Protokolle mit einem Anforderungs-Antwort-Spiel die Aktualität einer
Aktion viel wirksamer, wie dies bei der Challenge-Response-Authentifikation geschieht.