Cryptography Reference
In-Depth Information
Transaktionsnummern (
TANs
) genannt). Jedesmal, wenn sie sich mit der Krypto-
bank verbindet und eine Transaktion startet, muss sie eine TAN aus ihrer Liste
verwenden. Danach wird die TAN ungültig. Sind alle TANs aufgebraucht, muss
Alice sich bei der Kryptobank eine neue Liste holen.
Ein Einmal-Passwort-Verfahren lässt sich sehr effektiv mit einer kryptografi-
schen Hashfunktion realisieren. Dazu generiert die Kryptobank eine Zufallszahl
p
0
. Darauf wendet sie eine kryptografische Hashfunktion an und erhält so die
TAN
p
1
, aus der sie durch erneutes Hashen
p
2
erzeugt. Dies führt die Kryptobank
mehrfach durch, bis sie beispielsweise
p
10
erhält.
p
0
bis
p
9
übergibt die Krypto-
bank als TAN-Liste an Alice und merkt sich lediglich
p
10
.
p
9
ist Alices erste TAN.
Die Bank kann deren Richtigkeit überprüfen, indem sie die kryptografische
Hashfunktion auf
p
9
anwendet und die Ergebnisse vergleicht. Die nächste TAN
ist
p
8
, die wiederum
p
9
ergeben muss, wenn sie durch die sichere Hashfunktion
geschickt wird. Diese Vorgehensweise zur Generierung von Einmal-Passwörtern
ist in einem RFC unter dem Namen
One-Time Password
(
OTP
) standardisiert
[RFC2289]. Die US-Firma Bellcore hat das Verfahren für alle gängigen Betriebs-
systeme implementiert, die Implementierung trägt den Namen
S/Key
. Oft wird
dieser Name auch für das Verfahren an sich verwendet. Die Bellcore-Implemen-
tierung benutzt wahlweise eine der (inzwischen veralteten) kryptografischen Has-
hfunktionen MD4 oder MD5.
Der OTP-Ansatz hat im Wesentlichen zwei Vorteile: Die Kryptobank muss
keine große TAN-Liste speichern, und Mallory findet keine verwertbaren Pass-
wörter, wenn er in den Bankrechner eindringt. Ein Nachteil von Einmal-Passwör-
tern ist jedoch offensichtlich: Alice muss ständig eine Passwortliste mit sich her-
umtragen. Wird diese von Mallory geklaut oder verliert Alice sie, dann können
ihre Ersparnisse schnell zusammenschrumpfen.
Challenge-Response-Verfahren
Eine Alternative zu Einmal-Passwörtern besteht darin, dass Alice ihr Passwort
(sie benötigt in diesem Fall nur eines) nicht übers Netz schickt. Stattdessen über-
gibt sie stets nur einen kryptografischen Hashwert des Passworts an die Krypto-
bank. Damit der kryptografische Hashwert nicht jedesmal gleich ist (und damit
von Mallory wiederverwendet werden kann), muss jedoch noch eine weitere
Information in den Hashwert einfließen. Diese Zusatzinformation kann etwa die
aktuelle Zeit oder einfach eine Zufallszahl sein. Die Zusatzinformation muss
nicht geheim bleiben, Alice kann sie übers Netz schicken (siehe Abbildung 21-6).
Am sichersten ist die beschriebene Vorgehensweise, wenn die Zusatzinforma-
tion direkt von der Bank kommt. Dazu sendet die Kryptobank in einer Protokoll-
nachricht einen beliebigen Wert (
Challenge
) an Alice. Aus diesem Wert und dem
Passwort bildet sie dann mit einer kryptografischen Hashfunktion die Antwort
(
Response
), die sie zurück an die Kryptobank sendet. Ein Verfahren, das nach
diesem Prinzip abläuft, wird
Challenge-Response-Verfahren
genannt.
