Cryptography Reference
In-Depth Information
Passwortbasierte Authentifizierung mit asymmetrischer Kryptografie
Alice und Bob haben ein Passwort vereinbart. Mit diesem wollen sie eine gegen-
seitige Authentifizierung durchführen und dabei gleich einen geheimen Schlüssel
austauschen. Kein Problem, möchte man meinen, denn mithilfe des Passworts
können die beiden ein Challenge-Response-Verfahren zur Authentifizierung
abarbeiten, und den benötigten Schlüssel leiten sie mit einer kryptografischen
Hashfunktion vom Passwort ab. Diese Vorgehensweise hat jedoch einen Nach-
teil: Sie ist anfällig gegenüber einem Wörterbuch-Angriff. Wenn Mallory den
Datenaustausch zwischen Alice und Bob abhört, dann kann er sich die verschlüs-
selte oder gehashte Challenge herauspicken und per Durchprobieren ermitteln,
welches Passwort zur Bildung dieser Challenge verwendet wurde. Wenn Alice
und Bob ein Passwort gewählt haben, das in einem Wörterbuch zu finden ist,
dann hat dieser Angriff eine gute Erfolgschance.
Wir stellen also einmal mehr fest: Wenn die Sicherheit eines Krypto-Systems
allein an einem Passwort hängt, dann kann es gefährlich werden. Alice und Bob
können einen Wörterbuch-Angriff vermeiden, indem sie einen zufälligen 128-Bit-
Schlüssel anstatt eines Passworts verwenden. Doch welcher Anwender will oder
kann sich schon einen 128-Bit-Schlüssel merken?
Zum Glück gibt es eine zuverlässige Möglichkeit, Wörterbuch-Angriffe in
passwortbasierten Authentifizierungsprotokollen zu vermeiden. Der Trick dabei
ist, dass zusätzlich zum Passwort ein asymmetrisches Krypto-Verfahren verwen-
det wird. Dies klingt zunächst widersinnig, denn asymmetrische Verfahren kom-
men ansonsten gerade dann zum Einsatz, wenn Alice und Bob keine gemeinsame
Geheiminformation (in diesem Fall ein Passwort) besitzen. Der vorliegende Fall
ist jedoch eine Ausnahme. Hier wird die asymmetrische Kryptografie eingesetzt,
um ein bereits vereinbartes Passwort sicherer zu machen. Oder aus anderer Pers-
pektive betrachtet: Das Passwort dient in diesem Fall dazu, einen Schlüsselaus-
tausch mit einem asymmetrischen Verfahren durch eine zusätzliche Authentifizie-
rung gegen eine Man-in-the-Middle-Attacke abzusichern. Man spricht hierbei
auch vom
passwortbasierten Schlüsselaustausch
.
Der passwortbasierte Schlüsselaustausch ist ein vergleichsweise junges
Thema in der Kryptografie. Es handelt sich dabei wieder einmal um einen prag-
matischen Ansatz, den Kryptografen lange vernachlässigt haben, da er in der
Theorie unnötig ist (in der Theorie setzen Alice und Bob keine erratbaren Pass-
wörter ein). Die Praxis sieht jedoch anders aus, und deshalb hat der passwortba-
sierte Schlüsselaustausch in den letzten Jahren schnell eine erhebliche Bedeutung
erlangt.
Das einfachste gängige Protokoll für den passwortbasierten Schlüsselaus-
tausch hat den Namen
SPEKE
(
Simple Password Exponential Key Exchange
). Bei
diesem Protokoll handelt es sich um eine leicht abgewandelte Variante des Diffie-
Hellman-Schlüsselaustauschs. Um es anzuwenden, einigen sich Alice und Bob auf
ein Passwort
w
und eine Primzahl
p
. Mit einer kryptografischen Hashfunktion
h
