Definition A.4(HMAC). hK(x)sei die MAC-Funktion, h(x)die Hashfunktion. p1und p2sind vordefi-nierte, verschiedene Bitmuster ausreichender Länge, um den Eingang der Hashfunktion auf Blocklänge zu verlängern:
hK(x) =h(K|p1|h(K|p2|x))
Haben zwei Parteien einen geheimen (niemanden anders bekannten) Schlüssel, können sie eine Nach-richt authentisieren, indem sie diese dem anderen zukommen lassen und den MAC unter Verwendung des geheimen Schlüssels anhängen. Nur wer den Schlüssel kennt, kann bei erhaltener Nachricht diese MAC-Berechnung nachvollziehen. Auf diese Weise kann eine Partei ihrem Gegenüber beweisen, dass sie in Besitz des Schlüssels ist, ohne diesen aufzudecken. Glaubt der Gegenüber dem Sender, dass er diesen Schlüssel nicht weitergegeben hat, ist die Authentifizierung erfolgt.
A.3 Verschlüsselung
In der Kryptographie existieren zwei grundsätzliche Arten der Verschlüsselung: Zum einen gibt es die symmetrische Verschlüsselung. Sie basiert auf der Existenz eines geheimen Schlüssels, den zwei oder mehrere Parteien teilen. Die Daten werden mit diesem Schlüssel verschlüsselt. Jeder, der im Be-sitz des Schlüssels ist, kann die Daten wieder entschlüsseln (Symmetrie zwischen Verschlüsselungs-und Entschlüsselungsschlüssel). Zum anderen existiert die asymmetrische Verschlüsselung. Hierbei unterscheiden sich die Schlüssel für das Chiffrieren und Dechiffrieren. Mit dem öffentlichen Schlüssel eines Teilnehmers verschlüsselte Nachrichten können nur mit Hilfe seines privaten entschlüsselt wer-den. Wird einer Benutzergemeinde der öffentliche Schlüssel bekannt gemacht, können alle Mitglieder Nachrichten verschlüsseln, die bei Geheimhaltung des privaten Schlüssels nur von dessen Besitzer entschlüsselt werden können.
A.3.1 Die symmetrische Verschlüsselung
Einfachstes Beispiel für eine symmetrische Verschlüsselung ist das Anwenden der Entweder-Oder-Funktion. Der binäre Klartext (Nachricht) sei in diesem FallN, der Schlüssel seiK. Die Verschlüsse-lung der Daten istN⊕K, wobei⊕für die Entweder-Oder-Operation steht.
N=00101011 K=11100100
C=N⊕K=11101111 (A.1)
Das ChiffratCgibt ohne Kenntnis des SchlüsselsK keine Information über den Klartext preis. Dies ändert sich, wenn der Schlüssel bekannt ist. Es ist dann ein Leichtes, den Klartext wieder zu dechif-frieren:
C=11101111 K=11100100
N=C⊕K=00101011 (A.2)
In diesem Beispiel sind Verschlüsselungs- und Entschlüsselungsfunktion gleich. In beiden Fällen ist es ein Entweder-Oder mit dem Schlüssel. Verallgemeinern lässt sich diese Symmetrieeigenschaft be-züglich des Chiffrierverfahrens jedoch nicht. Der symmetrische Schlüssel wird geheimer Schlüssel genannt.
Zwei wissenschaftliche Tests haben sich in den vergangenen Jahren intensiv mit der Sicherheit von Blockchiffren befasst. Die AES-Challenge [61] kürte im Rahmen eines Standardisierungswettbewerbs den Rijndael-Algorithmus zum Sieger, der seitdem als AES geführt wird. Eine europäische Initiative namhafter Kryptographen hat eine Sicherheits- [70] und Geschwindigkeitsanalyse [71] der bekanntes-ten kryptographischen Primitive durchgeführt.
A.3.2 Die asymmetrische Verschlüsselung
Ein mächtiges Konzept ist die asymmetrische Verschlüsselung. Bei ihr gibt es zwei Arten von Schlüs-seln, den privaten Schlüsselund den öffentlichen Schlüssel. WennAan Beine Nachricht schicken will, die nurBentschlüsseln kann, dann verschlüsseltAdie Nachricht mit dem öffentlichen Schlüssel vonB. Entschlüsselt werden kann die Nachricht nur mit dem privaten Schlüssel vonBund dieser sollte nurBbekannt sein.
Die Funktion f sei eine asymmetrische Verschlüsselungsfunktion. Sie wird in zwei Modi betrieben, fV sei dabei der Verschlüsselungs- und fE der Entschlüsselungsmodus. Das Schlüsselpaar vonBsei (KPU B,KPRV). Das ChiffratCwird mit dem öffentlichen SchlüsselKPU Berzeugt. Der KlartextNkann mit fV undKPRV ausCwieder gewonnen werden:
C= fV(N,KPU B)
N= fE(C,KPRV) (A.3)
Das bekannteste Verfahren für die asymmetrische Verschlüsselung ist RSA. Allerdings muss die Um-setzung mit Vorsicht durchgeführt werden, weil es viele Angriffe gegen fehlerhafte Implementierungen gibt. Das Verfahren als solches kann jedoch als sicher betrachtet werden.
Im Gegensatz zur symmetrischen Verschlüsselung kann derselbe öffentliche Schlüssel einer ganzen Be-nutzerschaft zugänglich gemacht werden, ohne dass die damit erzeugten Nachrichten von den Nutzern
A.3 Verschlüsselung
entschlüsselt werden können. Während bei der symmetrischen Verschlüsselung ein Schlüssel paar-(oder gruppen-)weise die Kommunikation in beide (alle) Richtungen absichert, kann bei der sym-metrischen Verschlüsselung ein Schlüsselpaar verwendet werden, um jede Kommunikation zu einem Teilnehmer abzusichern. Um eine Antwort verschlüsselt senden zu können, wird jedoch ein weiteres Schlüsselpaar benötigt.
A.3.3 Vergleich zwischen asymmetrischen und symmetrischen Verfahren Arjen Lenstra beschreibt in seinem Papier [57] die relative Geschwindigkeit von RSA bezüglich AES, sprich um wie viel langsamer sich RSA gegenüber AES bei gleicher Sicherheit verhält. Bei der Ver-schlüsselung gibt Lenstra den Faktor 2200–2900 an, für EC-RSA (RSA unter Verwendung von ellip-tischen Kurven) immerhin noch 960. Für die Entschlüsselung ist der geringste Wert 870–1200, für EC-RSA 490. Tests mit dem Motorola MSP430 Prozessor haben ergeben, dass sich der Stromver-brauch linear zur Laufzeit des Algorithmus verhält (siehe Abschnitt 4.5.1). Dies kann zwar bei anderen Prozessoren etwas variieren, dennoch ist diese Aussage als Annäherung richtig. Damit ist deutlich, wie viel komplexer asymmetrische Verfahren gegenüber den symmetrischen Pendants sind.
A.3.4 Die digitale Signatur
Die Verschlüsselung von Nachrichten sorgt für Vertraulichkeit, die digitale Signatur für Echtheit/Inte-grität. Mit Hilfe einer digitalen Unterschrift kann der Absender einer Nachricht deren Echtheit bestäti-gen. Eine digital signierte Nachricht kann ausschließlich von einer Partei erstellt worden sein. Es darf nicht möglich sein, bei gleicher Signatur die Nachricht zu ändern.
Die digitale Signatur ist ebenfalls eine asymmetrische Technik, denn es gibt zwei verschiedene Schlüs-sel für die beiden Arbeitsschritte: Um die Signatur zu erstellen, wird der Signaturschlüssel benö-tigt, zur Überprüfung der Signatur derVerifizierungsschlüssel. Der Verifizierungsschlüssel sollte dem Empfänger zur Verfügung gestellt, der Signaturschlüssel hingegen niemals preisgegeben werden.
Der Nutzer kann im Folgenden eine Nachricht verschicken und diese digital signieren. Jeder, der diese Signatur überprüfen möchte, benötigt dafür den Verifizierungsschlüssel des Ausstellers.
Die digitale Signatur und die MAC-Funktion (vgl. Anhang A.2) stehen zueinander wie die asymme-trische und die symmeasymme-trische Verschlüsselung. Beide dienen dem gleichen Zweck, sind aber kon-zeptionell artverschieden. Sowohl die MAC-Funktion als auch die digitale Signatur sorgen für eine Teilnehmer- oder Nachrichtenauthentisierung. Bei der MAC-Funktion wird aber eine symmetrische Technik genutzt, weswegen sich Sender und Empfänger einen geheimen Schlüssel teilen müssen. Bei der digitalen Signatur kann der Verifizierungsschlüssel einer Benutzergruppe mitgeteilt und eine Nach-richt von jedem in dieser Gruppe authentifiziert werden, ohne dass sie paarweise mit einem MAC versehen werden muss.
A.3.5 Zusammenfassung
Bei der symmetrischen Kryptographie müssen beide (alle) Kommunikationspartner ein Interesse daran haben, das Geheimnis nicht preis zu geben. Es ist dabei nicht möglich, im Nachhinein nachzuweisen, welcher Gesprächspartner welche Nachricht gesendet hat. In beide (alle) Richtungen wird die gleiche Verschlüsselung verwendet. Bei der asymmetrischen Kryptographie hat jeder sein eigenes Schlüssel-paar. Es ist also auch eine vertrauliche Punkt-zu-Punkt-Kommunikation zwischen mehr als zwei Partei-en möglich und im BesonderPartei-en eine Kommunikation zwischPartei-en unbekanntPartei-en (sich nicht vertrauPartei-endPartei-en) Gesprächspartnern.
Wenn die Nachrichten nicht verschlüsselt, sondern lediglich die Herkunft der Nachrichten nachgewie-sen (authentisiert) werden soll, gibt es bei der symmetrischen Kryptographie die Möglichkeit, einen MAC hinzuzufügen. Dieser weist nach, dass der Sender im Besitz des geheimen Schlüssels ist. Bei der asymmetrischen Kryptographie ist das Äquivalent die digitale Signatur. Auch hier ist der Vorteil, dass diese nicht nur für den jeweils anderen Schlüsselinhaber gilt, sondern auch in der Eins-zu-viele-Kommunikation funktioniert.
Die asymmetrische Kryptographie bietet zahlreiche Möglichkeiten und ist meistens das bessere Kon-zept, wenn es viele Parteien gibt, die unabhängig miteinander kommunizieren wollen. Allerdings ist es auch wesentlich rechenaufwändiger und die Schlüssellängen für vergleichbar sichere Verschlüsselun-gen sind ungefähr um den Faktor zehn größer.
Ein Problem bei der Verwendung von Verschlüsselungen oder Signaturen ist das Binden eines sels an Entitäten. Bei symmetrischen Schlüsseln einigen sich zwei Parteien auf einen geheimen Schlüs-sel. Hierbei ist ein Vertrauensverhältnis notwendig, welches beide dazu bringt, diesen nicht aufzude-cken. Der Schlüsselaustausch geschieht meist im Rahmen dieser Vertrautheit und sichert die Bindung des Schlüssels an Entitäten ab. Asymmetrische Techniken werden wegen ihres Konzeptes meistens ein-gesetzt, um unbekannte Parteien oder Entitäten miteinander zu verbinden. Jeder Kommunikationspart-ner benötigt dabei den öffentlichen Schlüssel beziehungsweise den Verifizierungsschlüssel des jeweils anderen. Um die Echtheit der Schlüssel nachzuweisen, werden meist vertrauenswürdige Dritte einge-führt, die diese Aufgabe übernehmen. Der nachfolgende Abschnitt beschreibt, wie dieses mit Hilfe von PKIs abläuft.