Cryptography Reference
In-Depth Information
11.2.2
MQV
Der Diffie-Hellman-Schlüsselaustausch ist zwar eine schöne Sache, doch er ist
nicht perfekt. Insbesondere bietet er in seiner bisher beschriebenen Form keine
Sicherheit gegen einige Angriffe, zu denen wir erst in Abschnitt 20.3.5 kommen.
Diese Angriffe nennen sich Known-Key-Attacken und gliedern sich in die Teilbe-
reiche Forward Security, Backward Security und Key Compromise Impersona-
tion Security. Verkürzt ausgedrückt besteht das Problem darin, dass Mallory
einen fast unbegrenzten Schaden anrichten kann, sobald er Alices oder Bobs pri-
vaten Diffie-Hellman-Schlüssel kennt. Diese Gefahr lässt sich etwas abmildern,
indem Alice und Bob jeweils mit mehreren Schlüsselpaaren arbeiten. Erfährt
Mallory eines davon, dann ist damit noch nicht die gesamte Sicherheit infrage
gestellt. Das bekannteste Verfahren, das Diffie-Hellman durch die Verwendung
mehrerer Schlüsselpaare sicherer macht, hat den Namen
MQV
[MeQuVa]. Es ist
nach den drei Kryptografen Menezes, Qu und Vanstone benannt, die es entwi-
ckelten und 1995 der Öffentlichkeit vorstellten. 1998 präsentierten Laurie Law
und Jerry Solinas eine Weiterentwicklung [LMQSV]. Diese ist heute meist
gemeint, wenn von MQV die Rede ist.
Funktionsweise von MQV
Bei MQV arbeiten Alice und Bob jeweils mit zwei Diffie-Hellman-Schlüsselpaa-
ren, wobei jeder der beiden ein
dauerhaftes
und ein
temporäres Schlüsselpaar
besitzt. In der Praxis stellt oft eine Public-Key-Infrastruktur (siehe Kapitel 26) die
dauerhaften öffentlichen Schlüssel zur Verfügung. Das temporäre Schlüsselpaar
wird dagegen vor jeder Kommunikation von Alice und Bob neu generiert. Der
Vorteil dieser Vorgehensweise ist offensichtlich: Selbst wenn Mallory sowohl Ali-
ces temporären als auch ihren dauerhaften privaten Schlüssel erfährt, ist der
Schaden begrenzt, weil bei der nächsten Kommunikation ein neuer temporärer
privater Schlüssel zum Einsatz kommt.
MQV hat ähnliche Voraussetzungen wie Diffie-Hellman. Wir benötigen eine
Primzahl
p
und eine natürliche Zahl
g
.
g
sollte idealerweise ein Generator der
Gruppe Z(
p
,·) sein, das Verfahren funktioniert aber auch, wenn
g
einen anderen
Wert kleiner als
p
annimmt. Alice hat den dauerhaften privaten Schlüssel
x
, Bob
den dauerhaften privaten Schlüssel
y
.
x
und
y
sind natürliche Zahlen. Alice hat
den dauerhaften öffentlichen Schlüssel
a
=
g
x
(mod
p
), Bob hat den dauerhaften
öffentlichen Schlüssel
b
=
g
y
(mod
p
). Im Falle von Alice lauten die temporären
Schlüssel
t
und
g
t
(mod
p
), im Falle von Bob
u
und
g
u
(mod
p
).
In seiner Standard-Version (
Two-Pass-Variante
) sieht MQV vor, dass Alice
ihren öffentlichen temporären Schlüssel an Bob schickt sowie umgekehrt. Nun
benötigen wir folgende zusätzliche Werte:
