Bild: Topline zu "Grundlagen digitaler Signaturen"

 


Grundlagen digitaler Signaturen

Vorwort

Das Modell

Erläuterung des Modells

 

Terminologie

Geheimhaltung, Sicherheit, Sicherheitskriterien

Sicherheitsmodelle

Zitat______________________________________
``The confidence level in the amount of security provided by a primitive or protocol based on computational or ad hoc security increases with time and investigation of the scheme.'' [Menezes/Oorschot/Vanstone]
Sicherheitsmodelle (security models) liegen dem Entwurf von Sicherheitskriterien zugrunde. Sie werden aus theoretischen Überlegungen oder den jeweiligen, konkreten Sicherheitsanforderungen abgeleitet. Erfahrungen aus der Praxis tragen ihren Teil zur Entwicklung der Modelle bei.

[Menezes/Oorschot/Vanstone], S. 42, 43 unterscheiden fünf Modelle zur Sicherheitsevaluierung:
 

  1. Uneingeschränkte Sicherheit (unconditional security), bei der ein potentieller Angreifer mit unbegrenzter Rechenleistung erfolglos bleibt;
  2. Komplexitätstheoretische Sicherheit (complexity-theoretic security), bei der ein potentieller Angreifer über polynomiale Rechenleistung verfügt und erfolglos bleibt;
  3. Überprüfbare Sicherheit (provable security), bei der ein Nachweis erbracht werden muß, daß sie der Lösung eines gut bekannten, schwierigen Problems entspricht (z.B. dem Faktorisierungsproblem);
  4. Berechenbare Sicherheit, bei der die notwendige Rechenleistung die höhstens verfügbare Rechenleistung eines potentiellen Angreifers signifikant übersteigt;
  5. Ad hoc-Sicherheit, bei der für einen potentiellen Angreifer ein gewisses, fixes Maß an verfügbarer Rechenleistung angenommen wird, und er dennoch erfolglos bleibt; 
 
Alle Modelle zielen auf die Sicherheit eines Systems/Verfahrens/Protokolls ab. 
 
[Anmerkung: Genaugenommen handelt es sich bei den aufgeführten, konkreten Modellen nicht um Modelle. Dafür sind zu allgemein und abstrakt gehalten. Eine Charakterisierung als `Paradigmen' wäre vielleicht zutreffender.]

Informationsintegrität, Authentifizierung, Unabweisbarkeit

Verschlüsselung, Entschlüsselung, Verschlüsselungsverfahren

Schlüssel, Schlüsselraum, Protokoll

Schlüssellebensdauer, Kryptoperiode

Kryptologie, Kryptographie, Kryptanalyse, Steganographie

Kryptographie (cryptography) beschäftigt sich mit der Geheimhaltung von Informationen durch Verschlüsselung. 

Die Kryptographie ist ein Gebiet der Kryptologie (cryptology). Das Wort ist griechischer Abstammung. `crypto graphein' bedeutet `geheimes Schreiben'. Wir verwenden im gleichen Sinne den Ausdruck `verschlüsseln' (encrypt), `chiffrieren' (encipher) oder auch `codieren' (encode).

Die Kryptologie umfaßt weiterhin das Gebiet der Kryptanalyse (cryptanalysis), die sich mit dem unbefugten Lesbarmachen verschlüsselter Nachrichten beschäftigt, sprich: mit dem Entschlüsseln (decrypt, decode, decipher). 

Neuerdings kommt die Steganographie (steganography) hinzu, die sich -wortwörtlich- mit dem `versteckten Schreiben' (griechisch: `stegano graphein') befaßt. Dabei geht es darum, die Tatsache, daß eine Information übermittelt wird, geheimzuhalten. 
 

[Anmerkung: Erreichen will man das z.B. durch die Modifikation von Bits in den Daten von Bildern. Nur, wer eingeweiht ist, kann den Bildern die Informationen wieder entnehmen.]
 

Nachricht, Klartext, Geheimtext

Sender, Empfänger, Kanal

Unsicherer Kanal, sicherer Kanal

Klartextalphabet, Klartextraum, Geheimtextalphabet, Geheimtextraum

Das Klartextalphabet (plaintext alphabet) enthält die Menge aller Zeichen, aus denen ein Klartext bestehen kann. Beispiel: Ein Binärcomputer arbeitet mit Bitfolgen, d.h. sein Alphabet besteht aus der Menge {0,1}. Der Klartextraum (plaintext space) wird dann aus der Menge aller Zeichenfolgen gebildet, die für Sender und Empfänger eine sinnvolle Information darstellen, im Falle des Binärcomputers die Menge aller sinnvollen Folgen aus 0 und 1. 

Analog umfaßt das Geheimtextalphabet (ciphertext alphabet) alle Zeichen, aus denen ein Geheimtext gebildet werden kann. Alle Zeichenfolgen, die entstehen können, wenn die Zeichenfolgen aus dem Klartextraum verschlüsselt werden, bilden den Geheimtextraum (ciphertext space). 

Klartextalphabet und Geheimtextalphabet können gleich sein, aber auch unterschiedlich. 
 

[Anmerkung: Diese Definitionen decken sich nicht unbedingt mit verschiedenen Definitionen aus der Fachliteratur (siehe z.B. [Menezes/Oorschot/Vanstone 1997]). Dies hat den Grund, daß sie semantisch und nicht allein syntaktisch gegeben werden. Eine syntaktische Definition für den Klartextraum würde alle möglichen Zeichenfolgen aus dem Klartextalphabet zulassen, nicht nur alle sinnvollen. Gleiches gilt für den Geheimtextraum. Dies steht in gewissem Widerspruch zur Praxis.]

Angriff, Angreifer, Manipulation

Private Key-Kryptographie, Public Key-Kryptographie, hybride Kryptographie

 
Nachteile existieren ebenfalls. Die wesentlichen sind:
 

Public Key-Kryptographie

Bei der Public Key-Kryptographie (public key cryptography) kommt für die Verschlüsselung ein Schlüssel zur Anwendung, für die Entschlüsselung ein anderer. Schlüssel werden als Paar benutzt. Ein Schlüssel aus dem Paar muß geheim bleiben. Dieser heißt privater Schlüssel (private key). Der andere Schlüssel, der nicht notwendig geheim bleiben muß heißt öffentlicher Schlüssel (public key). Die Ungleichheit der Schlüssel hat zu der Bezeichnung `asymmetrische Schlüssel' geführt. 

Ein alternativer Name für die Public Key-Kryptographie ist asymmetrische Kryptographie (asymmetric cryptography). Er spiegelt wider, daß die Operationen für Ent- und Verschlüsselung nicht symmetrisch, sondern asymmetrisch sind. Grundsätzlich handelt es sich um nichtidentische inverse Funktionen und nicht um involutorische Funktionen (involution), d.h. es gilt: d(e(x)) = x, wobei e ungleich (!) d ist. 

Elementare Bedeutung für die Implementierung von Verfahren für die Public Key-Kryptographie haben Einweghashfunktionen und Einwegfunktionen mit Falltür.

Hashfunktion, Einwegfunktion, Einweghashfunktion, Einwegfunktion mit Falltür

Eine Hashfunktion (hash function) ist eine Komprimierungsfunktion für Informationen. Sie berechnet aus Eingabewerten (Informationen) mit beliebiger Länge Ausgabewerte (Informationen) mit fixer Länge. Dabei ist die Länge der Ausgabewerte im Mittel kürzer, als die der Eingaben. In der Regel ist die Menge der möglichen Ausgabewerte deutlich kleiner, als die Menge der möglichen Eingabewerte. Die Komprimierung ist fast immer mit einem Informationsverlust verbunden. 
  Einwegfunktionen (one-way function) sind Abbildungen, deren Umkehrung praktisch nicht bestimmbar ist. Es ist bei Einwegfunktionen relativ leicht, den Funktionswert f(x) zu berechnen. Das Inverse f-1(x) läßt sich im Gegensatz dazu höchstens unter unbezahlbarem Rechenaufwand ermitteln. 
 
Einweghashfunktionen (one-way hash function) vereinen die Eigenschaften beider vorgenannter Funktionstypen: Sie komprimieren ihre Eingabe, und aus der Ausgabe läßt sich nicht auf die Eingabe schließen. 
 
[Anmerkung: Anonyme Wahlen lassen sich in gewissem Sinne als Einweghashfunktionen interpretieren. Zuerst werden sämtliche Argumente pro oder contra Wahlgegenstand auf ein `dafür' oder `dagegen' reduziert, also komprimiert. Anschließend werden die `dafür'- und `dagegen'-``Ausgaben'' zusammengezählt, zum Wahlergebnis. Aus diesem läßt sich aber nicht mehr bestimmen, wer mit `dafür' und wer mit `dagegen' gestimmt hat, da es eine anonyme Wahl war.]
 
Einwegfunktionen mit Falltür (trapdoor one-way function) sind besondere Einwegfunktionen, bei denen es eine schlüsselgesteuerte, effektive Lösung für die Inversion gibt. In Unkenntnis des Schlüssels steht diese Lösung nicht zur Verfügung. Wegen dieser Eigenschaft spricht man oft auch von kryptographischen Falltüreinwegfunktionen. Einwegfunktionen mit Falltür sollten nicht mit Einweghashfunktionen verwechselt werden. 

Alle bedeutenden Public Key-Verschlüsselungsverfahren basieren auf Einwegfunktionen mit Falltür (z.B. RSA, ElGamal). 

Digitale Signatur

Eine digitale Signatur (digital signature) ist eine Annotation (tag) zu einer Information. Die Annotation enthält verschlüsselte Aussagen zur Identität der Information. Anhand einer Überprüfung dieser Annotation, wozu ein Schlüssel benötigt wird, kann festgestellt werden, ob die Information unverändert geblieben ist. Die zu verschlüsselnden Aussagen über die Information erhält man durch die Anwendung einer Einweghashfunktion auf die Information. 

Digitale Signaturen dienen der Authentifizierung von Kommunikation und der Identifizierung von Informationen. Sicherheit können sie nur zusammen mit einer geeigneten Schlüsselverwaltung bieten. 
 

[Anmerkung: Zwar gibt es auch Verfahren für digitale Signaturen, die auf symmetrischer Verschlüsselung basieren. Diese sind jedoch nicht für den Einsatz in offenen Netzen (z.B. Internet) geeignet. Dafür sind nur Public Key-Verfahren einsetzbar. Aus diesem Grunde werden `digitale Signaturen' im Rahmen der Public Key-Verschlüsselung eingeführt.]

Vorteile, Nachteile von Public Key-Verfahren

 Vorteile von Public Key-Verfahren sind zu sehen in:
   
Als Nachteile müssen gelten:
 

Begriffsabgrenzung

Public Key-Kryptographie hat sich historisch gesehen als Konsequenz aus der Private Key-Kryptographie entwickelt. Am Anfang war alle Kryptographie Private Key-Kryptographie. Deshalb gibt es die verbale Unterscheidung in Public Key-Kryptographie und Private Key-Kryptographie erst seit relativ kurzer Zeit. Vorher sprach man nur von Kryptographie.
 
Bild: Entwicklung der Terminologie

Hybride Kryptographie

Von hybrider Kryptographie (hybrid cryptography) spricht man, wenn Public Key- und Private Key-Kryptographie kombiniert werden. Sie kommt zum Einsatz, um die Vorteile beider Arten  auszunutzen und gleichzeitig ihre Nachteile zu kompensieren bzw. zu minimieren. 

Verschlüsselungsmodi

Betriebsarten von Blockverschlüsselungsverfahren

Es gibt vier Betriebsarten (modes of operation) für Blockverschlüsselungsverfahren:
  • ECB - Electronic Codebook mode;
  • CBC - Cipher-block Chaining mode;
  • CFB - Cipher feedback mode;
  • OFB - Output feedback;
  • Diese Betriebsarten dienen unterschiedlichen Zwecken, wie z.B. Fehlerkorrektur oder statistischer Verschleierung der Zusammenhänge zwischen Klartextblöcken und Geheimtextblöcken.

    Zertifizierung, Zertifikate, Zertifizierungsinstanzen

     

    Fehlerbegriffe

    Zahlentheorie

    Einordnung der Begriffe


    Konzepte

    Numerische Alphabete - Maschinenlesbarkeit

    Private Key-Kryptographie

    Runde

    Feistel-Netzwerke

    DES als Beispiel

    Weitere symmetrische Verfahren

    Resumee der symmetrischen Verschlüsselung

    Public Key-Kryptographie

    Andere Public Key-Verfahren

    Hybride Kryptographie

    Schlüsselbesitz

    Schlüsselverwaltung für Verschlüsselungsverfahren

    Bild: Graph der 1:1-Kommunikation
     
    Bild: Zertifizierungshierarchie
     
    Bild: X.509-Zertifizierungshierarchie
     
     

    Zertifizierung durch Trusted Third Parties

    [Hinweis: Im vorliegenden Text werden die Begriffe `Trusted Third Party', `vertrauenswürdiger Dritter', `vertrauenswürdige dritte Instanz' usw. synonym gebraucht.]

    Der Vertrauenswürdige Dritte

     Bild: Zitat
    ``Zwei Menschen, die sich allein und ohne Ausweis begegnen, können sich ihre Identität gegenseitig nicht beweisen. Sie brauchen dazu ein bestätigendes soziales Umfeld. Entweder sind sie von vertrauenswürdigen Instanzen, z.B. Einwohnermeldeämtern, mit Identitätsausweisen versehen worden, oder sie werden von einer vertrauenswürdigen dritten Person einander vorgestellt. Beide Verfahren setzen vertrauenswürdige Dritte ein.'' [Grimm 1996]
    Bild: Crosszertifizierung
      Verwaltung der Zertifikate und Schlüssel

    Patente

    Fazit aus der Analyse des Gesetzes



     

    Digitale Signaturen

    Bild: Zitat
    ``For practical applications, digital signatures are one of the two most important cryptologic primitives. In particular with the rise of electronic commerce on the Internet and the World Wide Web, they may become even more important than the better-known schemes for message secrecy.'' [Pfitzmann 1996], Preface

    Konzepte für authentischen und beweisbaren Dokumentenaustausch

    Dokumentenaustausch mit symmetrischer Verschlüsselung

    Digitale Signaturen mit Public Key-Verschlüsselung

    Fail-Stop-Signaturen

    Noch relativ neu sind Fail-Stop-Signaturen, die auf Birgit Pfitzmann und Michael Waidner zurückgehen. Ihrem Design liegen zusätzlich zu den allgemeinen Sicherheitsansprüchen digitaler Signaturen noch weitere zugrunde:
     
    [Anmerkung: Außer in dem Buch von B. Pfitzmann ([Pfitzmann 1996]) finden sich in der aktuellen kryptologischen Fachliteratur nicht sehr viele Darstellungen zu Fail-Stop-Signaturen. Insbesondere findet sich keine gute, kompakte Darstellung.]
     
    Bruce Schneier gibt in [Schneier 1996] auf den Seiten 102 und 103 einen kurzen Abriß der Idee (Zusammenfassung):
    Man benötigt einen Public Key-Verschlüsselungsalgorithmus, der zu jedem öffentlichen Schlüssel eine sehr große Anzahl geheimer Schlüssel benutzen kann. Der Aufwand, ein Paar aus geheimem und öffentlichem Schlüssel zu generieren, darf nicht wesentlich größer als bei anderen Signaturverfahren sein. Die Möglichkeit, einen bestimmten geheimen Schlüssel aus dieser großen Menge gezielt auswählen zu können, muß dagegen sehr klein, praktisch Null sein. Der Aufwand, aus einem signierten Dokument und einem öffentlichen Schlüssel einen passenden geheimen Schlüssel zu errechnen, sollte in die Komplexitätsklasse NP fallen. Jeder mögliche geheime Schlüssel führt zu einer anderen Signatur.  

    Der Sender generiert ein Paar aus geheimem und öffentlichen Schlüssel. Der öffentliche Schlüssel wird wie üblich seiner Bestimmung zugeführt und veröffentlicht. Auch die Kommunikation wird wie gewöhnlich vorgenommen, d.h. signiert wird mit dem geheimen Schlüssel, getestet mit dem öffentlichen Schlüssel.  

    Falls es einem Angreifer gelingen sollte, zu dem öffentlichen Schlüssel einen passenden geheimen Schlüssel zu finden, so ist die Wahrscheinlichkeit, daß der gefundene Schlüssel derselbe ist wie der geheime Schlüssel des Senders, sehr gering. Praktisch ist es ausgeschlossen, denselben Schlüssel zu finden. Wenn mit dem gefundenen Schlüssel Dokumente signiert werden, so wird eine andere Signatur erzeugt, als mit dem richtigen (echten), geheimen Schlüssel des Senders. Das kann der Sender gegenüber Außenstehenden vorführen und so beweisen, daß die Signatur eine Fälschung ist. Eine Trusted Third Party zur Identifizierung ist deshalb verzichtbar. 



     

    Fußnoten