Cryptography Reference
In-Depth Information
Die Initialisierungsroutine besteht dann meist aus einem (evtl. wechselseitigen)
Challenge-Response-Verfahren.
Falls kein gemeinsamer geheimer Schlüssel vorhanden ist, führen Alice und
Bob im Rahmen der Initialisierungsroutine einen Schlüsselaustausch durch. Meist
erfolgt dies asymmetrisch mit RSA oder Diffie-Hellman. Viele Protokolle stützen
sich hierbei auf eine PKI. Aber auch ein symmetrischer Schlüsselaustausch mit
Kerberos oder einem ähnlichen Verfahren ist möglich. Viele kryptografische Netz-
werkprotokolle sind flexibel und unterstützen mehrere Schlüsselaustauschverfah-
ren. Ist die Initialisierungsroutine eines kryptografischen Netzwerkprotokolls in
sachgerechter Weise umgesetzt, dann sind Spoofing- und Man-in-the-Middle-
Angriffe nahezu ausgeschlossen. Vor allem, wenn asymmetrische Verfahren im
Spiel sind, sind jedoch manchmal Denial-of-Service-Angriffe möglich.
31.3.2
Datenaustauschroutine
In der
Datenaustauschroutine
eines sicheren Kanals wird vorausgesetzt, dass
Alice und Bob - als Ergebnis der Initialisierungsroutine - einen gemeinsamen
geheimen Schlüssel besitzen. Mit diesem Schlüssel verschlüsseln sie nun die
Daten, die sie sich gegenseitig zuschicken. Viele moderne Krypto-Protokolle
sehen hierbei vor, dass Alice und Bob den gemeinsamen Schlüssel nicht direkt,
sondern nur als Masterschlüssel verwenden. Aus diesem generieren sie mit einer
kryptografischen Hashfunktion einen Sitzungsschlüssel, der für die Verschlüsse-
lung der Daten genutzt wird. In die Hashwert-Bildung gehen neben dem Master-
schlüssel noch einige andere Informationen ein (z.B. ein Zufallswert, der nicht
geheim gehalten werden muss) ein. Ab und zu sollten Alice und Bob den Sitzungs-
schlüssel wechseln, indem sie durch eine erneute Hashwert-Bildung (mit einem
geänderten Zufallswert) einen neuen generieren. Auf diese Weise erschweren sie
Known-Key-Attacken.
Eine interessante Frage ist, welches symmetrische Verschlüsselungsverfahren
Alice und Bob innerhalb eines sicheren Kanals verwenden sollen. Die meisten
(wenn auch nicht alle) Netzwerkprotokolle lassen verschiedene Verfahren zu, aus
denen der Implementierer wählen kann oder die verhandelbar sind (viele krypto-
grafische Netzwerkprotokolle sind verhandlungsfähig). Am weitesten verbreitet
ist sicherlich der AES. Als Betriebsart sind CBC, CFB und CTR für einen sicheren
Kanal geeignet. Die meisten Protokolle sind auch diesbezüglich flexibel und stel-
len mehrere Betriebsarten zur Wahl.
Die nächste interessante Frage lautet nun, ob die verschlüsselten Daten
zusätzlich noch mit einer schlüsselabhängigen Hashfunktion vor Manipulationen
durch Mallory geschützt werden sollen. Auf den ersten Blick erscheint dies nicht
notwendig, denn wenn Mallory verschlüsselte Daten manipuliert, dann kommt
beim Entschlüsseln nur Unsinn heraus - Alice und Bob bemerken dies im Nor-
malfall sofort. Wenn der Klartext ein geeignetes Format hat, das beispielsweise
