Cryptography Reference
In-Depth Information
5.1.1 Das Prinzip des MAC
Die Idee ist einfach: Gegeben seien Mengen
P
,
K
und
S
und eine Abbildung
×
→
α
:
P
K
S
.
Dann ist
(
×
)
(
)
=(
α
(
))
P
,
P
S
,
K
,
f
mit
f
x
,
k
:
x
,
x
,
k
ein Kryptosystem, da die Abbildung
f
k
=
f
(
.,
k
)
:
P
→
P
×
S
offenbar injektiv
ist - vgl. die Definition auf Seite 9.
Von der Abbildung
α
verlangen wir noch zweierlei:
k
aus
K
gelte stets
=
α
k
=
α
k
.
•
Für
k
•
Für jedes
k
α
k
eine kollisionsresistente Hashfunktion (hier ist impli-
zit vorausgesetzt, dass
∈
K
sei
|
| < |
|
S
P
).
Sender und Empfänger gehen nun wie folgt vor:
Vor der Kommunikation einigen sie sich auf den gemeinsamen, geheimen
Schlüssel
k
∈
K
.
Um den Klartext
N∈
P
zu authentifizieren, berechnet der Sender den Wert
S
=
α
(
N
)
(
N
)=(
N
S
)
:
,
k
, den eigentlichen MAC, und verschickt
f
,
k
,
.
(
N
,
S
)
Der Empfänger erhält
und überprüft mit seinem Schlüssel
k
,obdie
Bedingung
α
(
N
,
k
)=
S
erfüllt ist.
(
N
,
S
)
Ist diese Bedingung erfüllt, so nennt man die Nachricht
gültig
, sonst
(
N
,
S
)
(
N
S
)
ungültig
- unabhängig davon, ob
gleich
,
ist oder nicht. Folglich
kann
auf dem Weg zum Empfänger manipuliert worden sein und den-
noch erkennt der Empfänger das erhaltene
(
N
,
S
)
(
N
,
S
)
als gültig an.
Bei einer gültigen Nachricht sind im folgenden Sinne Integrität und Authentizi-
tät sichergestellt: Die Authentizität wird dadurch gewährleistet, dass außer dem
Empfänger nur der Sender den vereinbarten Schlüssel kennt. Die Integrität be-
ruht wesentlich auf der Kollisionsresistenz der Hashfunktion
α
k
; diese stellt si-
N
zu
S
cher, dass es nicht möglich ist, zu einem gültigen
eine weitere Nachricht
(
N
,
finden, für die
als gültig akzeptiert wird.
Man erkennt, dass das geschilderte Verfahren so keinerlei Geheimhaltung bietet.
Der Klartext
S
)
wird unverschlüsselt vom Sender an den Empfänger übermit-
telt. Wir werden daher in diesem Kapitel nicht vom
Geheimtext
, sondern von der
Nachricht
sprechen. Beim MAC ist die Nachricht
f
N
.
Wir können aber auch Geheimhaltung erreichen. Dazu verschlüssele man den
Klartext
(
N
,
k
)=(
N
,
S
)
N
vor oder nach der Anwendung von
α
mit einem symmetrischen Ver-
fahren. Folglich können wir
N
als Klartext oder auch als verschlüsselten Text