Cryptography Reference
In-Depth Information
sende Kombination aus dieser Vorauswahl aussuchen. Die einzelnen Verfahren
und Parameter werden dabei meist mithilfe von OIDs identifiziert.
Ist ein kryptografisches Netzwerkprotokoll verhandlungsfähig, dann hat dies
nicht nur den Vorteil, dass Alice und Bob ihre aktuellen Lieblingsverfahren ein-
setzen können. Vorteilhaft ist zusätzlich, dass in ein bestehendes Krypto-Proto-
koll im Nachhinein neue Verfahren eingebracht werden können. Nicht zuletzt
deshalb legen sich die meisten Netzwerkprotokolle nicht auf ein bestimmtes Ver-
fahren fest. Vielmehr wird meist eine Liste von unterstützten Verfahren genannt,
aus denen sich der Implementierer und später auch der Anwender seine Präferenz
aussuchen kann. Diese Liste ist in der Regel erweiterbar, ohne dass die Protokoll-
spezifikation geändert werden muss.
Zustandslosigkeit bei kryptografischen Protokollen
Zustände spielen auch bei kryptografischen Protokollen eine wichtige Rolle. Stel-
len Sie sich vor, Alice und Bob tauschen mit dem RSA-Verfahren einen Schlüssel
aus und verschlüsseln danach ihre Kommunikation mit einem symmetrischen
Verfahren. In diesem Fall brauchen Alice und Bob zumindest einen Kontext, in
dem sie den geheimen Schlüssel speichern können. Schon ein so einfaches Proto-
koll kann daher kaum zustandslos realisiert werden. Eine Assoziation wird bei
kryptografischen Protokollen
Sicherheitsassoziation
genannt.
Minimum Disclosure
Eine Protokollnachricht ist im Normalfall nicht vollständig verschlüsselt -
zumindest ein Teil des Headers muss unverschlüsselt bleiben, damit der Empfän-
ger und die Zwischenstationen auf dem Transport etwas mit der Nachricht
anfangen können. Ziel muss es jedoch sein, so wenig wie möglich unverschlüsselt
zu übertragen. Dieses Ziel wird als
Minimum Disclosure
bezeichnet. Was genau
darunter zu verstehen ist, hängt vom jeweiligen Protokoll ab.
20.3
Angriffe auf kryptografische Protokolle
Wenn Alice und Bob sichere Krypto-Verfahren einsetzen, dann heißt dies noch
lange nicht, dass sie Mallory damit überlistet haben. Es gibt nämlich durchaus
Angriffe auf Protokolle, die auch bei sicheren Krypto-Verfahren funktionieren.
Um diese geht es in den folgenden Unterkapiteln. Dabei gehen wir davon aus,
dass Mallory das Protokoll kennt, das Alice und Bob verwenden (es gilt also das
Kerckhoffs'sche Prinzip). Wenn es um Angriffe auf Protokolle geht, dann dürfen
Sie sich Mallory nicht nur als Abhörer vorstellen, der die Kommunikation zwi-
schen Alice und Bob belauscht, sondern auch als jemanden, der aktiv in die Kom-
munikation eingreift.
