Cryptography Reference
In-Depth Information
5.2
Challenge-Response-Authentifikation
Ziel dieses Protokolls ist, dass eine Partei, z.B. A (Alice) gegenüber einer anderen Partei, z.B.
B (Bob) ihre Identität nachweist. Die Initiative geht von Bob aus, der hier die Rolle der verifi-
zierenden Partei einnimmt. Bei dem Challenge-Response-Verfahren sendet Bob eine Anforde-
rung (challenge) und die andere Partei Alice antwortet darauf (response). Die Anforderung ist
eine Aufgabe, die nur Alice mit einem Geheimnis lösen kann.
In der Variante von Abb. 5-1 sendet Bob eine Zufallszahl r, die in der Antwort von Alice ver-
schlüsselt werden soll. Zwischen Alice und Bob ist vorher ein geheimer (symmetrischer)
Schlüssel k vereinbart worden.
Alice
Bob
wählt Zufallszahl
r = Challenge
r = Challenge
berechnet
f (r) = Response
k
f (r) = Response
k
prüft, ob r = f
-1
(Response)
k
Abb. 5-1: Challenge-Response-Verfahren mit symmetrischem Schlüssel.
Bob prüft die Authentizität von Alice.
Anforderung mit Zufallszahl r, Antwort mit verschlüsselter Zufallszahl.
Anforderung :
Chall
r
Antwort :
Re sp
f (r)
(5.2-1)
k
1
Verifikation :
r
f
(Re sp)
oder
Re sp
f (r)
k
k
Bob als verifizierende Partei ist sich sicher, dass Alice geantwortet hat, da der geheime Schlüs-
sel k nur diesen beiden Parteien bekannt ist. Es ist jedoch nötig, dass die Zufallszahl r nur
einmal benutzt wird (Einmal-Zufallszahl, „nonce“). Andernfalls könnte ein Angreifer die
Antwort f
k
(r) speichern und bei Wiederholung eine korrekte Antwort liefern. Ferner ist sich
der verifizierende Bob sicher, dass die Antwort von Alice frisch und zeitnah ist, denn Bob
kann die Zeit zwischen Anforderung und Antwort leicht überprüfen.
Als Sicherheitsdienst liefert das Challenge-Response-Verfahren eine
einseitige Authentifi-
kation
: In unserem Beispiel von Abb. 5-1 bekommt nur Bob Sicherheit über die Identität von
Alice. Alice dagegen erhält durch das Protokoll keine Sicherheit.
Das Challenge-Response-Verfahren kann auch mit einer Einweg- oder Hash-Funktion arbei-
ten, wenn in der Antwort neben der Zufallszahl r auch der Schlüssel k einbezogen wird (keyed
hashing, siehe Kap. 3.4). Dabei werden k und r z.B. verkettet und dann gemeinsam „gehasht“.
Re sp
h(k, r)
(5.2-2)
