Abbildung 2.5: Hybride Verschl¨usselung nach?] und?]
2. Welche Probleme der symmetrischen Verschl¨usselungsverfahren werden durch eine asymme-trische Verschl¨usselung gel¨ost?
3. Beschreiben Sie die Vorteile der symmetrischen Verschl¨usselung gegen¨uber der asymmetri-schen Verfahren.
4. Wie funktionieren hybride Verschl¨usselungsverfahren?
2.3 Signaturverfahren
Dieser Abschnitt f¨uhrt Sie in die Konzepte von Signaturverfahren ein. Das Ziel des Abschnitts ist es, einen ¨Uberblick zu geben, mit welchen kryptographischen Verfahren die Schutzziele Da-tenauthentizit¨at,Integrit¨at sowieZurechenbarkeit von Nachrichten gew¨ahrleistet werden k¨onnen.
Ahnlich wie bei den Verschl¨¨ usselungsverfahren gibt es zwei Klassen von Signaturverfahren: sym-metrische Signaturverfahren, die meist alsMessage Authentication Code bezeichnet werden und deren Konzept Sie in Abschnitt 2.3.1 kennenlernen. Die zweite Klasse sind asymmetrische Signa-turverfahren, die meist als elektronische Signaturen bezeichnet werden und deren Konzept wir in Abschnitt 2.3.2 darstellen. Konkrete moderne Signaturverfahren werden sp¨ater in Kapitel 3 (Abschnitte 3.4 sowie 3.7) behandelt.
2.3.1 Symmetrische Signaturverfahren – Message Authentication Code
Symmetrische Signaturverfahren werden alsMessage Authentication Code(MAC) bezeichnet. Mit-tels eines MAC sollen die Schutzziele Datenauthentizit¨at sowie Integrit¨at erreicht werden. In Ab-bildung 2.6 finden Sie die prinzipielle Funktionsweise eines MAC.
Alice m¨ochte Bob ein Dokumentm¨uber einen unsicheren Kanal zukommen lassen, so dass Bob sicher ist, dass das Dokument von Alice stammt (Datenauthentizit¨at) sowie dass es unver¨andert bei ihm eingeht (Integrit¨at). ¨Ahnlich wie bei symmetrischen Verschl¨usselungsverfahren verwenden Senderin Alice und Empf¨anger Bob den gleichen geheimen Schl¨ussel, den wir mit k bezeichnen.
Der gemeinsame geheime Schl¨usselkmuss ¨uber einen sicheren Kanal ausgetauscht werden. Alice signiert das Dokumentmmittels einer Funktion MAC. Alice heißt deshalb auchSigniererin (engl.
Signer). Eingabe des MAC sind das zu signierende Dokumentm sowie der gemeinsame geheime Schl¨usselk. Die Signiererin Alice berechnet also MAC(m, k) =s.
Dann schickt Alice das Dokument msowie den MACs ¨uber einen unsicheren Kanal an Bob.
Die Angreiferin Eve kann in diesem Fall das Dokument m und den MAC s lesen, was im Kon-text von Signaturverfahren aber keine Rolle spielt, da diese nicht das Schutzziel Vertraulichkeit gew¨ahrleisten. Sie kann aber auchmsowie den MACsver¨andern – das muss Bob aber auffallen.
Nach Erhalt des Dokumentsmund des MACsverifiziert Bob den MAC, indem er selber den MAC ¨uber das erhaltene Dokumentmmittels des gemeinsamen geheimen Schl¨usselskberechnet:
MAC(m, k) =s0.
Gilts=s0, so ist die Signatur g¨ultig und Bob ist ¨uberzeugt, dass das Dokument von Alice stammt und nicht ver¨andert wurde. Gilt hingegen s 6= s0, so ist die Signatur ung¨ultig, er ordnet das Dokument Alice nicht zu bzw. h¨alt es f¨ur ver¨andert. Bob heißt auch derVerifizierer
Abbildung 2.6: Message Authentication Code (MAC) nach?].
Wir sprechen bei einem MAC nicht weiter von einer Signatur, um Verwechslungen mit asymme-trischen Signaturverfahren zu verhindern. Ein MAC gew¨ahrleistet im Unterschied zu einer asym-metrischen Signatur keineZurechenbarkeit. Denn sowohl Signiererin Alice als auch Verifizierer Bob k¨onnen den MAC erzeugen. Gegen¨uber Dritten (z.B. einem Richter) kann Bob also nicht beweisen, dass nicht er, sondern Alice die Pr¨ufsumme berechnet hat.
Da beide Kommunikationspartner Zugriff auf den geheimen Schl¨usselkhaben, kann auch jeder der beiden den Schl¨ussel erzeugen. Das ist analog zu den symmetrischen Verschl¨usselungsverfahren.
2.3. SIGNATURVERFAHREN 39 Sehen wir uns noch die Vor- und Nachteile eines MAC an. Der zentrale Vorteil ist wie bei den symmetrischen Verschl¨usselungsverfahren ihre Schnelligkeit. Die Algorithmen besitzen einen hohen Datendurchsatz und k¨onnen somit große Datenmengen in kurzer Zeit signieren sowie verifizieren.
Auch die L¨ange der Schl¨ussel ist im Vergleich zu asymmetrischen Signaturverfahren relativ kurz.
Nachteilig an einem MAC ist das aufwendige Schl¨usselmanagement sowie die Schl¨usselverteilung.
Bei einem MAC besteht also das Schl¨usselaustauschproblem.
Beispiele f¨ur einen MAC k¨onnen wir Ihnen an dieser Stelle noch nicht angeben, dazu ben¨otigen wir noch Inhalte aus Kapitel 3. Daher werden Sie konkrete moderne Message Authentication Codes in Abschnitt 3.4 kennenlernen. Sie sollten aber das Konzept eines MAC verstanden haben.
2.3.2 Asymmetrische Signaturverfahren – Elektronische Signaturen
Asymmetrische Signaturverfahren werden alsElektronische Signaturverfahren bezeichnet. Mittels einer elektronischen Signatur sollen die Schutzziele Datenauthentizit¨at, Integrit¨at sowie Zurechen-barkeit erreicht werden. In Abbildung 2.7 finden Sie die prinzipielle Funktionsweise einer elektro-nischen Signaturfunktion.
Alice m¨ochte Bob ein Dokumentm¨uber einen unsicheren Kanal zukommen lassen, so dass Bob sicher ist, dass das Dokument von Alice stammt (Datenauthentizit¨at) sowie dass es unver¨andert bei ihm eingeht (Integrit¨at). Er m¨ochte auch gegen¨uber unbeteiligten Dritten die Urheberschaft des Dokumentsmvon Alice nachweisen (Zurechenbarkeit). ¨Ahnlich wie bei asymmetrischen Ver-schl¨usselungsverfahren verwenden Senderin Alice und Empf¨anger Bob dazu Public Key Krypto-graphie.
Im Falle einer elektronischen Signatur muss die Signiererin Alice ein asymmetrisches Schl¨usselpaar besitzen. Ihren Public Key bezeichnen wir wie bei den asymmetrischen Ver-schl¨usselungsverfahren mit e, ihren Private Key mit d. Alice signiert das Dokument m mittels einer Signaturerzeugungsfunktion S. Eingabe der Funktion S sind das zu signierende Dokument msowie ihr geheimer Schl¨usseld, die ausgegebene Signatur bezeichnen wir mit s. Die Signiererin Alice berechnet also S(m, d) =s.
Dann schickt Alice das Dokumentmsowie die elektronische Signatur suber einen unsicheren¨ Kanal an Bob. Die Angreiferin Eve kann in diesem Fall wie auch schon im Anwendungsbeispiel MAC das Dokumentmund die Signaturslesen sowie diese Daten ver¨andern.
Nach Erhalt des Dokuments m ben¨otigt Bob noch den authentischen ¨offentlichen Schl¨ussel e von Alice. Dieser kann ¨uber einen unsicheren Kanal ausgetauscht werden, sofern er dabei nicht ver¨andert wird. Bob verifiziert die Signatursmittels einer Verifikationsfunktion V. Bob ben¨otigt dazu drei Eingaben, n¨amlich das erhaltene Dokument m, die Signatur s sowie den ¨offentlichen Schl¨ussel e der Signiererin Alice. Ausgabe der Verifikationsfunktion V ist entweder true oder false, je nachdem ob die Signatur g¨ultig ist oder nicht.
Da die Senderin Alice zum Signieren ihren Private Key ben¨otigt, wird das Schl¨usselpaar der Senderin genutzt. Entsprechend kann nur sie dund darauseerzeugen. Das ist ein wichtiger Un-terschied zur Public Key Verschl¨usselung, bei der das Schl¨usselpaar des Empf¨angers verwendet wird.
Sehen wir uns noch die Vor- und Nachteile eines elektronischen Signaturverfahrens an. Der zentrale Vorteil im Vergleich zum MAC ist, dass hier auch das Schutzziel Zurechenbarkeit erreicht wird. Weiterhin ist im Unterschied zum MAC das Schl¨usselaustauschproblem gel¨ost (bis auf die Echtheit des Public Key der Senderin Alice). Nachteilig an elektronischen Signaturverfahren im Vergleich zu einem MAC sind der geringe Datendurchsatz sowie die relativ langen Schl¨ussel.
Um den Nachteil des geringen Datendurchsatzes zu l¨osen, signieren elektronische Signaturver-fahren nicht direkt das Dokument m, sondern eine sehr kurze, daraus abgeleitete Datenstruktur, die sehr effizient berechenbar ist. Dazu werden Hashfunktionen verwendet, auf die wir in Ab-schnitt 2.4 eingehen.
Das bekannteste elektronische Signaturverfahren ist das RSA Verfahren (wie schon bei der Public Key Verschl¨usselung). Wir gehen auf RSA im Detail in Abschnitt 3.6 ein. Weitere wichtige Signaturverfahren verwenden Elliptische Kurven (z.B. das ECDSA Verfahren).
Abbildung 2.7: Elektronische Signatur nach ?] und?].
Kontrollaufgabe 7 (Signaturverfahren). 1. Welche Schutzziele (vgl. Abschnitt 1.3) gew¨ahrleistet ein Message Authentication Code?
2. Welche Schutzziele werden von einer elektronischen Signatur gew¨ahrleistet, aber nicht von einem MAC?