Cryptography Reference
In-Depth Information
20.3.5
Known-Key-Attacken
In der Kryptografie setzt man normalerweise voraus, dass Mallory einen von
Alice und Bob verwendeten Schlüssel nicht kennt (öffentliche Schlüssel sind
natürlich eine Ausnahme). Wenn es jedoch um Protokolle geht, müssen wir diese
Voraussetzung etwas aufweichen. Alice und Bob verwenden eine Protokollimple-
mentierung möglicherweise über Jahre hinweg, ohne dabei ständig den Schlüssel
zu wechseln. Da kann es schon einmal vorkommen, dass Mallory mit seiner kri-
minellen Energie in den Besitz eines Schlüssels gelangt. Selbstverständlich ist ein
Schlüssel in Mallorys Händen aus kryptografischer Sicht immer eine Katastro-
phe. Es stellt sich jedoch die Frage, ob sich der Schaden begrenzen lässt, den Mal-
lory mit einem gestohlenen Schlüssel anrichten kann. Die Antwort ist ja, denn
man kann ein Protokoll durchaus so gestalten, dass Mallory mit einem bekann-
ten Schlüssel (
Known-Key-Attacke
) keinen Flurschaden anrichten kann.
Masterschlüssel und Sitzungsschlüssel
Wenn wir davon ausgehen, dass Alice und Bob einen gemeinsamen geheimen
Schlüssel besitzen (z.B. einen Preshared Key), dann gibt es eine einfache Maß-
nahme zur Erschwerung einer Known-Key-Attacke. Diese sieht vor, dass der
besagte geheime Schlüssel als
Masterschlüssel
genutzt wird. Ein Masterschlüssel
kommt nie zum Verschlüsseln oder für eine schlüsselabhängige Hashfunktion
zum Einsatz. Stattdessen nutzen ihn Alice und Bob nur zur Generierung anderer
Schlüssel (beispielsweise, indem sie eine kryptografische Hashfunktion darauf
anwenden). Nur mit den neu generierten Schlüsseln, die auch als
Sitzungsschlüs-
sel
bezeichnet werden, wird verschlüsselt oder gehasht. Wenn Alice und Bob für
jede Kommunikation einen neuen Sitzungsschlüssel vom Masterschlüssel ablei-
ten, dann erhöht dies die Sicherheit eines Protokolls gegenüber einer Known-Key-
Attacke deutlich. Voraussetzung ist, dass Alice und Bob ihren Masterschlüssel
besonders schützen. Idealerweise speichern sie ihn unauslesbar auf einer Smart-
card. Diese Smartcard übernimmt dann das Generieren der Sitzungsschlüssel, mit
denen anschließend in einem weniger geschützten Umfeld das Protokoll abgear-
beitet wird.
Forward Security und Backward Security
Nehmen wir an, Alice und Bob schicken sich jeden Tag ein paar Nachrichten zu.
Sie verschlüsseln ihre Kommunikation mit einem Hybridverfahren bestehend aus
dem AES und RSA, wobei sie den AES-Schlüssel täglich wechseln und neu per
RSA übertragen. Mallory zeichnet die verschlüsselte Kommunikation zwischen
Alice und Bob über längere Zeit hinweg auf. Irgendwann - die CDs stapeln sich
schon in seinem Keller - gelingt es Mallory, in Besitz eines Schlüssels zu kommen.
Kann Mallory damit nun im Rahmen einer Known-Key-Attacke die gesamte auf-
gezeichnete Kommunikation nachträglich entschlüsseln?
