Cryptography Reference
In-Depth Information
rung gibt es bekanntlich die asymmetrische Kryptografie, und diese lässt sich
auch für Challenge-Response-Verfahren nutzen.
Challenge-Response mit digitaler Signatur
Eine einfache Möglichkeit zur Challenge-Response-Authentifizierung besteht
darin, digitale Signaturen einzusetzen. Das entsprechende Protokoll sieht etwa so
aus (Alice authentisiere sich gegenüber einem Server, der ihren öffentlichen
Schlüssel kennt):
1.
Der Server schickt eine Challenge an Alice.
2.
Alice signiert die Challenge und sendet sie an den Server zurück.
3.
Der Server verifiziert die Signatur. Ist sie echt, dann ist die Authentifizierung
positiv verlaufen.
Da Alice einen privaten Schlüssel (also quasi ein Passwort) verwendet, haben wir
hier einen weiteren Fall einer Authentifizierung durch Wissen. Speichert Alice
ihren privaten Schlüssel auf einer Smartcard, dann wird daraus eine Authentifi-
zierung durch Besitz.
Challenge-Response mit asymmetrischer Verschlüsselung
Auch mit einem asymmetrischen Verschlüsselungsverfahren können Alice und ein
Server ein Challenge-Response-Protokoll abarbeiten. Wenn wir wieder davon
ausgehen, dass der Server Alices öffentlichen Schlüssel kennt, dann sieht dies wie
folgt aus:
1.
Der Server generiert einen Zufallswert und verschlüsselt ihn mit Alices öf-
fentlichem Schlüssel. Das Ergebnis sendet er als Challenge an Alice.
2.
Alice entschlüsselt die Challenge mit ihrem privaten Schlüssel. Das Ergebnis
sendet sie als Response an den Server.
3.
Der Server prüft die Korrektheit der Response. Im positiven Fall ist die Au-
thentifizierung erfolgreich.
Diese Variante hat gegenüber der Challenge-Response-Authentifizierung mit digi-
taler Signatur zwei Nachteile: Zum einen muss die Challenge in diesem Fall
geheim bleiben; zum anderen muss der Server gleich am Anfang eine Public-Key-
Operation durchführen, was Mallory eine Denial-of-Service-Attacke erleichtert.
Es gibt jedoch auch einen interessanten Vorteil: Alice und Bob können die Res-
ponse als geheimen Schlüssel für ein symmetrisches Verfahren verwenden. Die
Challenge-Response-Authentifizierung mit asymmetrischer Verschlüsselung schließt
also einen Schlüsselaustausch mit ein.
