Cryptography Reference
In-Depth Information
Die Anwort hängt davon ab, welchen Schlüssel Mallory besitzt. Handelt es
sich um den RSA-Schlüssel, den Alice und Bob seit Jahren unverändert nutzen,
dann haben die beiden Pech: Mallory kann damit alle AES-Sitzungsschlüssel ent-
schlüsseln, die er abgefangen hat, und dadurch alle gesammelten Nachrichten
lesen. Ist es dagegen ein AES-Schlüssel, den Mallory in seinen Besitz gebracht hat,
dann hält sich der Schaden in Grenzen. Denn da Alice und Bob täglich einen
neuen AES-Schlüssel einsetzen, beschränken sich Mallorys Entschlüsselungsmög-
lichkeiten auf einen Tag.
Natürlich lassen sich solche Überlegungen auch bei anderen kryptografischen
Protokollen anstellen. Wenn wir dabei weiterhin von einem täglichen Schlüssel-
wechsel ausgehen, stellt sich jeweils folgende Frage: Was passiert, wenn Mallory
das Schlüsselmaterial eines Tages kennt? Klar ist, dass er an diesem Tag alles ent-
schlüsseln kann. Das verwendete Protokoll kann jedoch so gestaltet sein, dass
Mallory mit den Schlüsseln eines Tages keine Chance hat, die Nachrichten frühe-
rer Tage zu entschlüsseln. In diesem Fall spricht man von
Backward Security
. Hat
Mallory keine Möglichkeit, die Nachrichtenübertragungen späterer Tage zu
lesen, dann heißt die entsprechende Protokolleigenschaft
Forward Security
. Die
meisten Protokolle, die Backward Security bieten, bieten auch Forward Security.
Wie wir sehen werden, gibt es Protokolle, die zwar ein hohes Maß an For-
ward Security oder Backward Security bieten, die aber - selbst wenn die einge-
setzten Krypto-Verfahren sicher sind - unter bestimmten Bedingungen anfällig
gegenüber einer Known-Key-Attacke sind. Es ist daher manchmal sinnvoll, von
perfekter und nichtperfekter Forward Security bzw. Backward Security zu reden.
Sind beide Eigenschaften in perfekter Form erfüllt, dann bezeichnet man dies
auch als
Perfect Forward Secrecy
(
PFS
). Leider ist diese weit verbreitete Bezeich-
nung nicht ganz glücklich, da intuitiv nicht klar ist, dass »forward« in diesem Fall
»backward« miteinschließt. Auch die Unterscheidung zwischen »Security« und
»Secrecy«, die hier nicht von Belang ist, kann zu Verwirrungen führen. Ich werde
den Begriff Perfect Forward Secrecy daher nicht weiter verwenden. Außerdem ist
im Folgenden, falls nicht anders gesagt wird, mit Forward Security bzw. Back-
ward Security immer der perfekte Fall gemeint.
Sowohl (perfekte) Forward Security als auch (perfekte) Backward Security
sind zum Beispiel gegeben, wenn Alice und Bob den Diffie-Hellman-Schlüsselaus-
tausch einsetzen und dabei für jede Kommunikation neue Schlüsselpaare verwen-
den (dabei müssen sie eine Man-in-the-Middle-Attacke verhindern, beispiels-
weise durch einen zusätzlichen Preshared Key). Noch besser ist es, statt Diffie-
Hellman MQV einzusetzen, das für Alice und Bob je zwei Schlüsselpaare vorsieht
- diese haben den Zweck, Forward Secutrity und Backward Security zu gewähr-
leisten. Auch wenn Alice und Bob das RSA-Verfahren zum Schlüsselaustausch
verwenden, können sie die beiden gewünschten Eigenschaften erreichen. Dazu
müssen sie für jede Kommunikation ein neues RSA-Schlüsselpaar einsetzen,
wobei sie wiederum eine Man-in-the-Middle-Attacke verhindern sollten.
