Cryptography Reference
In-Depth Information
1.
Das erste Byte des formatierten Klartexts hat immer den Wert 00000010.
Dies ist ein Erkennungszeichen, an dem Bob nach dem Entschlüsseln feststel-
len kann, ob es sich um einen gültigen Klartext handelt.
2.
Nach dem ersten Byte folgen beliebig viele Zufallsbytes, die ungleich Null
sind. Diese Zufallsbytes sollten von Alice für jeden Verschlüsselungsvorgang
anders gewählt werden. Dadurch wird sichergestellt, dass sich die formatier-
ten Klartexte auch dann unterscheiden, wenn die ursprünglichen Klartexte
identisch sind. Außerdem bringen die Zufallsbytes den Klartext auf eine ein-
heitliche Länge und enthalten keine Muster.
3.
Nach den Zufallsbytes folgt ein Byte mit dem Wert 00000000. Dieses Byte ist
ein weiteres Erkennungszeichen für einen gültigen Klartext und trennt die
Zufallsbytes vom folgenden Teil.
4.
Als Letztes kommt der ursprüngliche Klartext.
Hat Empfänger Bob die Nachricht von Alice entschlüsselt, dann prüft er zunächst
nach, ob ein Byte mit dem Wert 00000010 am Anfang steht. Ist dies der Fall,
dann weiß er, dass es sich mit hoher Wahrscheinlichkeit um einen formatierten
Klartext handelt. Anschließend sucht er nach dem ersten Byte mit dem Wert
00000000. Alles, was danach kommt, ist der ursprüngliche Klartext.
1998 entdeckte der Kryptograf Daniel Bleichenbacher eine Schwachstelle in
der Datenformatierung gemäß PKCS#1 Version 1 [Bleich]. Mallory kann diese
Schwachstelle zu einem Angriff nutzen, den man zur Familie der Seitenkanalan-
griffe zählt (siehe Abschnitt 17.1). Unter bestimmten Umständen kann Mallory
damit eine Nachricht entschlüsseln, die Bob mit Alices öffentlichem Schlüssel ver-
schlüsselt hat. Der genannte Seitenkanalangriff sieht vor, dass Mallory die von
Bob verschlüsselte Nachricht nach einer bestimmten Methode verändert und
damit insgesamt etwa eine Million veränderter Nachrichten erzeugt. Diese Nach-
richten sendet er an Alice. Wenn Alice jede der Nachrichten entschlüsselt und
Mallory in jedem Fall erfährt, ob das Format der entschlüsselten Nachricht kor-
rekt ist, dann kann dieser mit dem von Bleichenbacher beschriebenen Verfahren
den echten Klartext rekonstruieren. Natürlich ist dieser Angriff nicht immer rea-
listisch. Außerdem erhält Mallory dabei nur den Klartext, nicht aber den Schlüs-
sel. Dennoch war diese Schwachstelle Grund genug, den PKCS#1-Standard um
eine verbesserte Datenformatierung zu erweitern.
Formatierung für die Verschlüsselung nach PKCS#1 Version 2
Die Datenformatierung nach PKCS#1v1 hat zwei Nachteile:
Jeder PKCS#1v1-formatierte Klartext, der irgendwo auf der Welt verschlüs-
selt wird, beginnt mit einem Byte des Inhalts 00000010. Außerdem kommt in
jedem PKCS#1v1-Klartext ein Nullbyte vor. Dies sind zwei klare Verstöße
gegen das Paradigma, Muster im Klartext zu vermeiden. Bisher hat zwar noch
niemand einen Angriff gefunden, der diese Muster ausnutzt, doch unschön ist
diese Sache allemal.
Search WWH ::




Custom Search