Cryptography Reference
In-Depth Information
tigt, wird als
schlüsselabhängige kryptografische Hashfunktion
oder einfach als
schlüsselabhängige Hashfunktion
bezeichnet. Häufig wird hierfür auch der
Begriff
Message Authentication Code
(
MAC
) verwendet.
14.5.1
Anwendungsbereiche
Nun fragen Sie sich vielleicht, wozu man schlüsselabhängige Hashfunktionen
benötigt, wo es doch digitale Signaturen gibt (oder umgekehrt). Die erste Frage
hat folgende Antwort: Eine schlüsselabhängige Hashfunktion benötigt viel weni-
ger Rechenzeit als eine digitale Signatur und kommt mit kürzeren Schlüsseln aus.
Aus wirtschaftlicher Sicht ist eine schlüsselabhängige Hashfunktion also zu
bevorzugen. Eine digitale Signatur hat dagegen einen anderen Vorteil gegenüber
einer schlüsselabhängigen Hashfunktion: Sie sorgt für Verbindlichkeit. Eine digi-
tale Signatur mit Bobs privatem Schlüssel kann nur Bob anfertigen. Wenn Bob ein
Buch bei Online-Händler Otto bestellt, dann kann Otto vor Gericht gehen, falls
Bob die signierte Bestellung abstreitet. Wenn Bob dagegen einen geheimen Schlüs-
sel mit Otto vereinbart und zur Bestellung eine schlüsselabhängige Hashfunktion
verwendet, dann kann Otto ihm nichts beweisen. Bob kann jederzeit behaupten,
Otto hätte den schlüsselabhängigen Hashwert selbst generiert. Da Otto den
Schlüssel kennt, könnte es ja tatsächlich so gewesen sein.
Schlüsselabhängige Hashfunktionen haben andere Sicherheitsziele als
gewöhnliche kryptografische Hashfunktionen. Bei Letzteren versucht Mallory,
Kollisionen zu finden, bei Ersteren ist er dagegen am Schlüssel interessiert. Bei
einer schlüsselabhängigen Hashfunktion ähnelt die Kryptoanalyse daher dem
Brechen eines symmetrischen Verschlüsselungsverfahrens. Eine Ciphertext-Only-
Attacke hat dabei jedoch keinen Sinn, da das Urbild nicht geheim ist. Stattdessen
kann es Mallory stets mit einer
Known-Preimage-
und manchmal mit einer
Cho-
sen-Preimage-Attacke
versuchen (Preimage ist der englische Ausdruck für Urbild),
was einer Known- bzw. Chosen-Plaintext-Attacke entspricht.
14.5.2
Die wichtigsten schlüsselabhängigen Hashfunktionen
Beim Design schlüsselabhängiger Hashfunktionen lohnt es sich nicht, das Rad
neu zu erfinden. Stattdessen sind alle gängigen schlüsselabhängigen Hash-
funktionen Weiterentwicklungen bereits bekannter kryptografischer Verfahren.
Dabei gibt es zwei gängige Möglichkeiten: Entweder Alice und Bob verwenden
eine kryptografische Hashfunktion als Grundlage oder sie nutzen ein symmetri-
sches Verschlüsselungsverfahren. Im erstgenannten Fall heißt die bekannteste
Variante HMAC, im zweitgenannten Fall CBC-MAC. Eine dritte, bisher nur sel-
ten genutzte Möglichkeit ist eine Stromchiffre, die zusätzlich einen Hashwert
generiert (siehe Abschnitt 16.1.1).
