Teil 3: Grundlagen der Kryptographie 2

Vorlesung Informationssicherheit 

Thema 3: Grundlagen der Kryptographie 

Robert Baumgartl 

25. 03. 2013 

1 / 99

Motivation 

“We ’ve got a five-tier level of defense,” Jabba 

explained. “A primary Bastion Host, two sets of packet 

filters for FTP and X-eleven, a tunnel block, and finally 

a PEM-based authorization window right off the Truffle 

project. The outside shield that’s disappearing 

represents the exposed host. It’s practically gone. 

Within the hour, all five shields will follow. After that, 

the world pours in. Every byte of NSA data becomes 

public domain.” 1 

Damit Sie obiges verstehen, gibt es die Veranstaltung 

Informationssicherheit! 

1 „Jabba“ erklärt die Sicherheitsarchitektur der NSA. In: Dan Brown: Digital Fortress, 1998 

2 / 99

Zufallszahlen 

Wozu? 

◮ (Monte-Carlo-)Simulation, Statistik 

◮ randomisierte Algorithmen 

◮ Spiele 

◮ Kryptografie 

Zufallszahlen – durch einen echten zufälligen Prozess 

generiert (Rauschen, atomare Zerfallsprozesse, . . . ) 

Pseudozufallszahlen – Folgen von Zahlen, die wie 

Zufallszahlen aussehen (, aber durch einen deterministischen 

Prozess generiert werden) 

3 / 99

Güte von Zufallszahlen 

Anforderungen: 

1. Gleichverteilung 

2. lange bzw. keine Periode 

3. Unabhängigkeit 

4. effizient ermittelbar 

Kryptografisch sichere Zufallszahlen dürfen zusätzlich nicht 

vorhersehbar sein. 

Prüfung der Güte erfolgt mittels Tests, z.B.: 

wahrscheinlichkeitstheoretisch empirisch 

2 sprich: „Tschih-Quadrat-Test“ 

χ 2 -Test 2 Gleichverteilungstest 

Kolmogorov-Smirnov-Test Serientest 

4 / 99

χ 2 -Test 

Beispiel 3 : 2 gekoppelte Würfel 

Augen s 2 3 4 5 6 7 8 9 10 11 12 

Wkt. ps 

1 

36 

2 

36 

3 

36 

4 

36 

5 

36 

6 

36 

5 

36 

Experiment mit n = 144 Würfen 

gezählt Ys 2 4 10 12 22 29 21 15 14 9 6 

erwartet (nps) 4 8 12 16 20 24 20 16 12 8 4 

◮ Maß für die „Abweichung“ der Würfelwerte vom „richtigen“ 

Verhalten: 

4 

36 

3 

36 

2 

36 

V = (Y2 − np2) 2 + (Y3 − np3) 2 + · · · + (Y12 − np12) 2 

◮ unausgewogen, da (z. B.) Fehler in Y7 aufgrund p7 > p2 viel 

stärker gewichtet als Fehler in Y2 

3 D. E. Knuth: The Art of Computer Programming. Vol. 2, 1998, S. 42ff 

1 

36 

5 / 99

χ 2 -Test, fortgesetzt 

Beispiel: 2 gekoppelte Würfel und Verallgemeinerung 

◮ Normierung mit erwarteter Anzahl: 

Allgemein gilt: 

V = (Y2 − np2) 2 

+ 

np2 

(Y3 − np3) 2 

+ · · · + 

np3 

(Y12 − np12) 2 

np12 

V = 

k (Ys − nps) 2 

s=1 

nps 

= 1 

n 

k 

2 Ys s=1 

ps 

 

− n 

V wird nun in der Tabelle der Quantile der χ 2 -Verteilung aufgesucht: 

◮ Freiheitsgrade ν („nü“) = k − 1 (Anzahl Kategorien - 1) 

◮ Tabelleneintrag x in Zeile ν: „V ist kleiner oder gleich x mit 

Wahrscheinlichkeit p.“ 

6 / 99

χ 2 -Test, fortgesetzt 

Tabelle der Quantile der χ 2 -Verteilung 

Freiheits- p 

grade 1% 5% 25% 50% 75% 95% 99% 

ν = 1 0.00 0.00 0.11 0.45 1.32 3.84 6.63 

ν = 2 0.02 0.10 0.58 1.39 2.77 5.99 9.21 

ν = 3 0.11 0.35 1.21 2.37 4.11 7.81 11.34 

ν = 4 0.30 0.71 1.92 3.36 5.39 9.49 13.28 

ν = 5 0.55 1.15 2.68 4.35 6.63 11.07 15.09 

ν = 6 0.87 1.64 3.46 5.35 7.84 12.59 16.81 

ν = 7 1.24 2.17 4.26 6.35 9.04 14.07 18.48 

ν = 8 1.65 2.73 5.07 7.34 10.22 15.51 20.09 

ν = 9 2.09 3.33 5.90 8.34 11.39 16.92 21.67 

ν = 10 2.56 3.94 6.74 9.34 12.55 18.31 23.21 

ν = 11 3.05 2.82 7.54 10.34 13.70 19.68 24.73 

ν = 12 3.57 5.23 8.44 11.34 14.85 21.03 26.22 

Für das Beispiel gilt V ≈ 7.15, ν = 10 . Abzulesen: V ≤ 9.34 mit 50%iger Wkt., V ≤ 6.74 mit 25%iger Wkt. 

Fazit: V = 7.15 tritt in rund einem Drittel aller Fälle auf; Würfel sind o.k.! 

7 / 99

Lineare Kongruenzgeneratoren 

Berechnung einer Zufallsfolge mittels 

zi+1 = (azi + b) mod m 

(m prim, Initialisierungswert z0 mit 0 < z0 < m; a, b Parameter) 

Beispiel: a = 6, b = 0, m = 13, z0 = 2 

i 0 1 2 3 4 5 6 7 8 9 10 11 12 . . . 

z i 2 12 7 3 5 4 11 1 6 10 8 9 2 . . . 

◮ generiert volle Periode (auch für m = 2 31 − 1, a = 16807 u. a.) 

◮ keine volle Periode z. B. für m = 13, a = 5, z0 = 1 

◮ effiziente Berechnung, gutes statistisches Verhalten 

◮ ungeeignet für kryptografische Zwecke, da vorhersehbar 

(vgl. James Reeds: “Cracking” a Random Number Generator. 

Cryptologia Vol. 1, No. 1, 1977, S. 20–26) 

8 / 99

Linear rückgekoppelte Schieberegister 

Prinzip 

Rückkopplungsfunktion 

bn bn−1 ... b3 b2 b1 Zufallsbit 

Abbildung: Rückgekoppeltes Schieberegister mit n Bit Länge 

Arbeitsweise: 

◮ Ausgabe des Bits b1 als neues Zufallsbit 

◮ gleichzeitig Verknüpfung der Bits bi miteinander (z. B. 

mittels ⊕) in Rückkopplungsfunktion 

◮ Ergebnis der Verknüpfung wird bn, alle anderen Bits eine 

Stelle nach rechts 

9 / 99

Linear rückgekoppeltes Schieberegister 

Beispiel 

b4 

XOR 

b3 b2 b1 

ZB 

◮ sog. linear feedback shift register 

(LFSR) 

◮ n = 4 Bit; Init: z0 = 1111 

◮ hier: maximale Periode (2 n − 1) 

◮ Ergebnis darf nie 0 sein 

i b ZB 

0 1111 - 

1 0111 1 

2 1011 1 

3 0101 1 

4 1010 1 

5 1101 0 

6 0110 1 

7 0011 0 

8 1001 1 

9 0100 1 

10 0010 0 

11 0001 0 

12 1000 1 

13 1100 0 

14 1110 0 

15 1111 0 

usw. 

10 / 99

Einwegfunktionen 

. . . sind ein wichtiger Baustein kryptografischer Verfahren 

◮ Bestimmung von f (x) aus x leicht (vorwärts) 

◮ Bestimmung von x aus gegebenem f (x) extrem schwer, 

d. h. nur mit allen zur Verfügung stehenden Rechnern der 

Welt in hunderten von Jahren 

Beispiele: 

◮ Suche einer Telefonnummer zu gegebenem Namen im 

Telefonbuch ist einfach 

◮ Suche eines Namens zu gegebener Telefonnummer im 

Telefonbuch ist schwierig 

◮ Multiplikation zweier (großer) Primzahlen ist einfach 

◮ Zerlegung des Produktes in zwei Primzahlfaktoren ist 

extrem aufwändig (→ Faktorisierungsverfahren) 

11 / 99

Einwegfunktionen, contd. 

Es gibt 

◮ keinen Beweis für die Existenz von und 

◮ keine systematischen Konstruktionsverfahren für 

Einwegfunktionen. 

Einwegfunktion mit Hintertür: 

◮ mit Kenntnis eines Zusatzschlüssels wird die Ermittlung 

von x aus f (x) einfach. 

12 / 99

Einweg-Hashfunktionen 

. . . sind Einwegfunktionen, die zu gegebenen Daten variabler 

Länge einen Funktionswert konstanter, meist kurzer Länge (→ 

„Fingerabdruck“, kryptografischer Hash, Message Digest) 

ermitteln. 

◮ Hash H(m) zu gegebenen Daten m ist leicht zu ermitteln 

(effizient zu berechnen). 

◮ Zu vorgegebenem Hash eine passende Eingabe zu 

konstruieren ist hingegen (extrem) schwer 

(m = H −1 (H(m))). 

◮ Änderung eines Bits in der Eingabe sollte im Mittel die 

Hälfte der Bits in der Ausgabe ändern. 

Anwendung: 

◮ Integritätssicherung von Dateien 

◮ Digitales Signieren 

◮ Authentifizierung 

13 / 99

Kryptografische Hashverfahren 

Beispiele 

Hashlänge Blockgröße 

Verfahren Jahr gebrochen? [Bit] [Bit] 

MD2 1988 4 128 128 

MD4 1990 128 512 

MD5 1991 5 128 512 

SHA-1 1995 Schwächen 160 512 

SHA-256 2004 - 256 512 

SHA-512 2004 - 512 1024 

Es ist ebenfalls möglich, Blockchiffren als kryptografische 

Hashes einzusetzen. 

4 Knudsen, Mathiassen: Preimage and Collision Attacks on MD2, 2005 

5 Praktikumsaufgabe 

14 / 99

Angriffe gegen Hashfunktionen 

Kollisionen 

◮ Kollision: Für zwei Nachrichten m1 und m2 wird ein- und 

derselbe Hash erzeugt, also H(m1) = H(m2) 

◮ in der Softwaretechnik z. B. durch Überlauflisten 

behandelt, unkritisch 

◮ bei kryptografischen Hashes gefährlich; erste Stufe zum 

„Brechen“ des Hashverfahrens 

◮ Kollisionsfreiheit ist unmöglich (unendlich viele 

verschiedene Nachrichten werden auf 2 Hashlänge 

verschiedene Hashwerte abgebildet) 

◮ stattdessen: Kollisionsresistenz gefordert 

15 / 99


Kollisionsresistenz 

Schwache Kollisionsresistenz 

◮ Zu einer Nachricht m und deren gegebenen Hashwert 

H(m) ist es praktisch unmöglich, eine zweite Nachricht m ′ 

zu finden, die den gleichen Hashwert H(m ′ ) = H(m) hat. 

Starke Kollisionsresistenz 

◮ Es ist praktisch unmöglich, zwei Nachrichten m und m ′ zu 

finden, die den gleichen Hashwert H(m) = H(m ′ ) zu 

finden. 

16 / 99


Brute-Force-Angriff gegen schwache Kollisionsresistenz 

gegeben: Nachricht m mit Hashwert H(m) 

gesucht: Nachricht m ′ mit H(m ′ ) = H(m) 

1: START 

2: zufällige Generierung m ′ 

3: Ermittlung H(m ′ ) 

4: if H(m ′ ) = H(m) then 

5: STOP {Kollision gefunden} 

6: else 

7: GOTO 2 

8: end if 

◮ bei einer Hashlänge von n Bit ist die Wkt. einer Kollision 

bei jeder Iteration 2 −n im Mittel 2 n Iterationen bis zur 

Kollision nötig 

17 / 99


Brute-Force-Angriff gegen schwache Kollisionsresistenz 

Start 

zufällige Auswahl m ′ 

Berechnung H(m ′ ) 

H(m ′ ) = 

H(m) ? 

Kollision gefunden 

Stop 

yes 

18 / 99


Geburtstagsangriff 

Geburtstagsparadoxon: 

Wie viele Personen müssen sich in einem Raum befinden, 

damit die Wahrscheinlichkeit, dass jemand mit mir am 

gleichen Tag Geburtstag hat (6. September) größer ist als 

50%? 

◮ 253 

Wieviele Personen müssen sich in einem Raum befinden, 

damit die Wkt., dass zwei von Ihnen am gleichen Tag 

Geburtstag haben, größer ist als 50%? 

◮ 23 

19 / 99







50%? 

◮ 253 




◮ 23 

20 / 99







50%? 

◮ 253 




◮ 23 

21 / 99

Geburtstagsparadoxon 

Beweisskizze 

◮ Wkt., dass man an einem bestimmten Tag im Jahr 

Geburtstag hat: 1 

365 

◮ Wkt., dass man an einem bestimmten Tag im Jahr nicht 


365 

◮ Wkt., dass man an zwei bestimmten Tagen im Jahr nicht 


365 

Voraussetzung: Geburtstage in der Gruppe sind unabhängig 

und gleichverteilt 

◮ Eine Gruppe von zwei Personen enthält mit 

Wahrscheinlichkeit 364 

365 keine zwei Personen mit dem 

gleichen Geburtstag, da die zweite Person genau an 

einem Tag keinen Geburtstag haben kann. 

22 / 99

Geburtstagsparadoxon 

Beweisskizze, Fortsetzung 

◮ Eine Gruppe von drei Personen enthält mit 

Wahrscheinlichkeit 364 363 

365 · 365 keine zwei Personen mit dem 

gleichen Geburtstag, da die dritte Person (und nur diese) 

an zwei Tagen keinen Geburtstag haben darf. 

◮ Eine Gruppe von n Personen enthält mit Wkt. 

364 363 366−n 

365 · 365 · · · · · 365 keine 2 Personen gleichen 

Geburtstags. 

◮ Eine Gruppe von n Personen enthält mit Wkt. 

pn = 1 − 364 363 366−n 

365 · 365 · · · · · 365 2 Personen gleichen 

Geburtstags. 

p23 ≈ 0, 5072 

In einer Gruppe von (mindestens) 23 Personen ist die 

Wahrscheinlichkeit, dass 2 Personen am gleichen Tag 

Geburtstag haben, größer als 50%. 

23 / 99


Zurück zum Planet...Geburtstagsangriff 

◮ Der Angreifer möchte zwei Nachrichten M und M ′ finden, 

so dass gilt: H(M) = H(M ′ ). 

◮ Er kann dann M dem Kommunikationspartner zeigen, den 

(gemeinsamen) Hash H(M) signieren lassen und dann M 

durch M ′ ersetzen 

Aus dem Geburtstagsparadoxon folgt: 

◮ Es ist sehr schwer, zu einer gegebenen Nachricht mit 

Hash einen zweiten Hash zu finden, der mit ihrem eigenen 

Hashwert kollidiert. 

◮ Es ist leichter, eine Kollision zu erzeugen, wenn beide 

Nachricht variabel sind! 

◮ Die Anzahl zu prüfender Hashes reduziert sich um die 

Wurzel! 

24 / 99


Beispiel und Fazit 

◮ Gegeben sei eine kryptografisch sichere Hashfunktion. 

◮ (hypothetische) Hashlänge 64 Bit (k = 64) 

◮ Brute-Force-Angriff eines gegebenen Hashes erfordert das 

Prüfen von 2 64 Hashwerten (≈ 1.892 · 10 19 ) 

◮ Rechner, der in der Sekunde 1.000.000 Hashes generiert, 

benötigt dafür etwa 600.000 Jahre 

◮ Ein Geburtstagsangriff auf diese Hashfunktion erfordert 

das Prüfen von 2 k/2 = 2 32 Hashes 

◮ Obiger Rechner benötigt dafür etwa 71 Minuten 6 ! 

Fazit: Ist ein Geburtstagsangriff auf die Hashfunktion zu 

erwarten, so muss die Länge des generierten Hashes im 

Vergleich zum ausschließlich drohenden Brute-Force-Angriff 

verdoppelt werden. 

6 Ein analoger Angriff auf SHA-1 benötigt 2.79 Urknallperioden (á 13.75 Mrd. Jahre) 

25 / 99

Hashing en Detail: MD5 

Idee: Kompression 

Init 

◮ (mehrfache) Iteration einer sog. Kompressionsfunktion 

◮ Eingabe: Daten fester Länge 

◮ Resultat: Daten fester Länge (kürzer als Eingabe) 

◮ Beispiel: Kompression bei MD5: Eingabe H (128 Bit), B 

(512 Bit), Resultat 128 Bit 

Nachricht M 

512 512 ... 512 

Pad 

128 

H0 

128 

C C ... 128 128 

C C 

H1 

Abbildung: Merkle-Damgård-Verfahren 

128 

Hn = h(M) 

26 / 99

Merkle-Damgård-Schema 

1. M wird aufgefüllt (Padding) mit 

◮ 1 Bit mit Wert 1, 

◮ variable Anzahl 0-Bits, 

◮ 64 Bit, in denen die Länge von M (in Bits) kodiert ist, 

so dass die Länge der resultierenden Nachricht M ′ ein 

Vielfaches von 512 Bit beträgt 

Pad = 

1 0 0 ... 0 Länge (64 Bit) 

Abbildung: Padding im Merkle-Damgård-Verfahren 

2. M ′ wird in 512 Bit lange Blöcke B1, B2, . . . Bn aufgeteilt 

3. H0 = IV (Initial Value) 

4. Hi = C(Hi−1, Bi) ∀i = 1, . . . , n 

5. Hn = H(M), der gesuchte Hashwert von M. 

27 / 99

Merkle-Damgård-Schema 

Anmerkungen: 

◮ maximale Länge der Nachricht 2 64 Bit=2048 PiB 

(PebiByte) 

◮ lineare Komplexität des Verfahrens 

◮ die meisten kryptografischen Hashverfahren nutzen diese 

Technik (unterscheiden sich in C) 

Satz (Merkle/Damgård, 1989): Wenn die Kompressionsfunktion 

C keine Kollisionen verursacht, dann auch nicht das nach 

obigem Verfahren konstruierte Hashverfahren. 

28 / 99

„Message Digest“ MD5 

◮ Ronald Rivest, 1991 

◮ beschrieben im RFC 1321 

◮ nutzt das Merkle-Damgård-Schema 

◮ sehr populär (Zertifikate, Integritätsprüfungen, . . . ) 

◮ Linux: Kommando md5sum 

◮ seit 2004 sind Kollisionen publiziert → unsicher 

Ablauf: 

◮ relativ komplexe Kompressionsfunktion 

◮ für jeden der Blöcke Bi werden 4 Iterationen („Runden“) 

ausgeführt 

◮ jede Runde besteht aus 16 Operationen 

29 / 99

Eine Operation in MD5 

modulare Addition + 

N 

j-ter Teilblock von Bi 

(32 Bit) 

Konstante 

32 Bit 

Linksrotation 

A B C D 

+ 

+ 

«s 

+ 

Hi, 128 Bit 

16mal 

A B C D 

30 / 99

Nichtlineare Funktionen N 

F(X, Y , Z ) = (X ∧ Y ) ∨ ((¬X) ∧ Z ) 

G(X, Y , Z ) = (X ∧ Z ) ∨ (Y ∧ (¬Z )) 

H(X, Y , Z ) = X ⊕ Y ⊕ Z 

I(X, Y , Z ) = Y ⊕ (X ∨ (¬Z )) 

◮ in jeder Runde wird eine andere Funktion genutzt 

31 / 99

Message Authentication Code (MAC) 

◮ Einweg-Hashfunktion mit (zusätzlichem) geheimem 

Schlüssel 

◮ Hash hängt von Eingabedaten und Schlüssel ab 

◮ → Authentizitätsprüfung nur mit Schlüssel möglich 

◮ typisch mittels Blockchiffre implementiert 

HMAC muss hier noch eingefügt werden! (kommt später) 

32 / 99

Signaturen (Unterschriften) 

. . . dienen dem Beweis der Echtheit, der Urheberschaft oder 

dem Einverständnis mit dem Inhalt eines Dokumentes. 

Eigenschaften: 

◮ authentisch - überzeugt den Empfänger, dass der 

Unterzeichner willentlich unterschrieben hat 

◮ fälschungssicher - beweist, dass der Unterzeichner (und 

kein anderer) das Dokument unterzeichnete 

◮ nicht wiederverwendbar - kann in kein anderes Dokument 

„übertragen“ werden 

◮ Unterschriebenes Dokument kann nicht mehr verändert 

werden. 

◮ nicht rücknehmbar - Unterzeichner kann Unterschrift nicht 

leugnen. 

33 / 99

Digitale Signaturen 

Verschlüsselung von Dokumenten weist viele dieser 

Anforderungen auf → Nutzung kryptografischer Techniken zur 

Signierung digitaler Dokumente 

Verschiedene Verfahren: 

◮ symmetrische Verschlüsselung und Vermittlung 

◮ mittels Public-Key-Kryptographie 

◮ mittels Public-Key-Kryptographie und Einweg-Hashfunktion 

34 / 99

Signieren mit symmetrischen Kryptosystemen und 

Vermittler 

Voraussetzungen: 

◮ Vermittler (Trent), dem vertraut wird 

◮ Schlüssel KA für Komm. Alice ↔ Trent und KB für Bob ↔ 

Trent 

Protokoll: 

1. Alice verschlüsselt M an Bob mit KA und schickt sie an 

Trent. 

2. Trent entschlüsselt M mittels KA. 

3. Trent verschlüsselt M zusammen mit einer Nachricht, dass 

M von Alice stammt, mit KB 

4. Trent sendet C = KB(M) an Bob. 

5. Bob entschlüsselt C mit KB. Er kann M lesen und ist 

sicher, dass diese von Alice stammt. 

35 / 99

Signieren mit Public-Key-Kryptographie 

1. Alice verschlüsselt M mit ihrem privaten (!) Schlüssel DK A 

(unterzeichnet): C = DK A (M) 

2. Alice schickt Chiffrat C an Bob 

3. Bob entschlüsselt C mit Alice’ öffentlichen Schlüssel EK A , 

was die Echtheit von M beweist 

Vorteil im Vergleich zum symmetrischen Verfahren: 

◮ kein Vermittler erforderlich 

◮ auch nicht im Streitfall 

Probleme: 

◮ Sicherung der Authentizität des öffentlichen Schlüssels 

von Alice EK A 

◮ Zeitbedarf bei langen Dokumenten 

36 / 99

Signieren mit Public-Key-Kryptographie und 

Einweg-Hashfunktion 

Idee: Signierung eines Einweg-Hashes über das Dokument 

anstatt des Dokumentes selbst (→ effizient). 

Protokoll: 

1. Alice berechnet den Einweg-Hash W1 zum 

entsprechenden Dokument M: W1 = H(M). 

2. Alice verschlüsselt W1 mit ihrem privaten Schlüssel DK A : 

C = DK A (W1) = DK A (H(M)) (Signatur). 

3. Alice sendet C und M an Bob. 

4. Bob ermittelt den Einweg-Hash W2 zum empfangenen 

Dokument M. 

5. Bob entschlüsselt W1 = EK A (C) mit Alice’ öffentlichem 

Schlüssel 

6. Bob prüft, ob W1 = W2 gilt. Wenn ja, dann ist die 

Unterschrift von Alice unter M gültig. 

37 / 99

Vorteile des Signierens mit Public-Key-Kryptographie 

und Einweg-Hashfunktion 

1. großer Geschwindigkeitsgewinn bei gleicher Sicherheit 

(Voraussetzung: sichere Hashfunktion) 

2. Unterschrift und Dokument können getrennt gespeichert 

werden. 

3. Möglichkeit, das Dokument selbst (noch) geheim zu 

halten; Offenlegung erst bei Prüfung der Unterschrift nötig 

→ urheberrechtliches Schützen 

38 / 99

Nutzung von Zeitstempeln 

◮ Wenn signiertes Dokument nur einmal genutzt werden darf 

(Scheck, Gutschein, . . . ) muss Mehrfachverwendung 

unterbunden werden 

◮ Lösung: Datum und Zeit der Unterschrift an Dokument 

anhängen, gemeinsam unterschreiben 

39 / 99

Nutzung von Zeitstempeln 

◮ Wenn signiertes Dokument nur einmal genutzt werden darf 

(Scheck, Gutschein, . . . ) muss Mehrfachverwendung 

unterbunden werden 

◮ Lösung: Datum und Zeit der Unterschrift an Dokument 

anhängen, gemeinsam unterschreiben 

40 / 99

Mehrfachsignatur 

Problem: Alice und Bob wollen beide ein- und dasselbe 

Dokument signieren (z. B. einen Vertrag) 

Möglichkeiten: 

a) Alice und Bob unterschreiben verschiedene Kopien des 

Dokuments (unhandlich) 

b) Erst unterzeichnet Alice, dann unterzeichnet Bob das von 

Alice unterzeichnete Dokument. (→ Signaturprüfung von 

Alice muss immer erst Signaturprüfung von Bob 

vorangehen - unelegant) 

c) Alice und Bob unterschreiben separat den Hashwert des 

Dokuments (→ Unterschriften einzeln prüfbar) 

41 / 99

Digitale Signaturen mit Verschlüsselung 

Kombination von Signierung und Verschlüsselung: 

1. Alice unterschreibt ihre Nachricht M mit ihrem privaten 

Schlüssel: SA(M) mit SA = DK A 

2. Alice verschlüsselt die unterzeichnete Nachricht mit Bobs 

öffentlichem Schlüssel: C = EK B (SA(M)) 

3. Alice schickt C an Bob 

4. Bob entschlüsselt C mit seinem privaten Schlüssel 

DK B : DK B (EK B (SA(M))) 

5. Bob prüft die Gültigkeit mit Alice’ öffentlichen Schlüssel 

und erhält die Klartextnachricht: 

VA(DK B (EK B (SA(M)))) = M mit VA = EK A 

42 / 99

Anmerkungen 

Günstig, vor der Verschlüsselung zu signieren: 

◮ Unterschrift kann nicht durch einen Gegner entfernt 

werden. 

◮ Man sieht, was man unterschreibt! 

◮ Keine kryptanalytischen Angriffe möglich. 

Es können für Signierung und Verschlüsselung 

unterschiedliche Schlüsselpaare verwendet werden. 

43 / 99

Erneutes Senden als Empfangsbestätigung 

1. Alice unterschreibt M mit ihrem privaten Schlüssel, 

verschlüsselt anschließend mit Bobs öffentlichem 

Schlüssel und sendet das Chiffrat an Bob: 

C = EK B (SA(M)) 

2. Bob entschlüsselt mit seinem privaten Schlüssel, überprüft 

Alice’ Signatur mit deren öffentlichen Schlüssel und stellt 

M damit wieder her: VA(DK B (EK B (SA(M)))) = M. 

3. Bob unterschreibt seinerseits M mit seinem privaten 

Schlüssel SB, chiffriert anschließend mit Alice’ öffentlichen 

Schlüssel und schickt die Nachricht als 

Empfangsbestätigung zurück: C2 = EK A (SB(M)) 

4. Alice entschlüsselt mit Ihrem privaten Schlüssel und prüft 

wiederum Bobs Signatur mit seinem öffentlichen 

Schlüssel. Stimmt die entschlüsselte mit der 

ursprünglichen Nachricht überein, weiß sie, dass Bob die 

Nachricht erhalten hat. 

44 / 99


Rücksendeangriff 

Protokoll ist unsicher, wenn für Verschlüsselung und Signierung 

der gleiche Algorithmus eingesetzt wird (Vx = Ex, Sx = Dx)! 

1. Alice signiert und verschlüsselt (wie gehabt): 

C = EK B (DK A (M)) 

2. Mallory zeichnet C auf, sendet sie (etwas später) an Bob 

und behauptet, C sei von ihm. 

3. Bob dechiffriert die Nachricht mit seinem Schlüssel und 

versucht anschließend, mit Mallorys öffentlichem Schlüssel 

die (von Alice stammende) Unterschrift zu prüfen. 

EK M (DK B (EK B (DK A (M)))) = EK M (DK A (M)) 

45 / 99


Rücksendeangriff und dessen Abwehr 

4. Obwohl die Unterschrift nicht verifiziert werden kann, 

schickt Bob (automatisiert?) gemäß dem Protokoll eine 

Empfangsbestätigung an Mallory 

5. Mallory muß nun: 

Lehre: 

EK M (DK B (EK M (DK A (M)))) 

◮ mit seinem privaten Schlüssel entschlüsseln 

◮ mit Bobs öffentlichem Schlüssel entschlüsseln 

◮ erneut mit seinem privaten Schlüssel entschlüsseln 

◮ mit Alice’ öffentlichem Schlüssel entschlüsseln 

. . . und schon kann er M lesen! 

Verschiedene Schlüssel oder verschiedene Algorithmen für 

Signierung und Verschlüsselung einsetzen! Nicht automatisch 

bestätigen und signieren! 

46 / 99

Protokolle zum Schlüsselaustausch 

Überblick 

◮ Austausch mittels symmetrischer Kryptografie 

◮ Austausch mittels Public-Key-Krypografie 

◮ Beispiel: Diffie-Hellman-Protokoll 

47 / 99

Schlüsselaustausch mit symmetrischer Kryptografie 

Voraussetzungen: Vertrauenswürdige Instanz (Key Distribution 

Center - KDC, aka Trent), sowohl Alice als auch Bob besitzen 

Schlüssel zur Kommunikation mit Trent 

Protokoll: 

◮ Alice bittet Trent um Generierung eines Sitzungsschlüssels 

zur Kommunikation mit Bob 

◮ Trent generiert zufälligen Sitzungsschlüssel, generiert 2 

Kopien, verschlüsselt eine mit Alice’ und eine mit Bobs 

Schlüssel 

◮ Trent schickt beide (verschlüsselte) Kopien an Alice 

◮ Alice dechiffriert ihre Kopie des Sitzungsschlüssels 

◮ Alice schickt Bob dessen (verschlüsselte) Kopie 

◮ Bob dechiffriert seine Kopie des Sitzungsschlüssels 

◮ Alice und Bob kommunizieren mittels des 

Sitzungsschlüssels 

48 / 99

Schlüsselaustausch mittels Public-Key-Kryptografie 

. . . wie bereits unter „hybride Kryptosysteme“ diskutiert: 

1. Alice bezieht Bobs öffentlichen Schlüssel aus dem KDC 

2. Alice generiert einen zufälligen Sitzungsschlüssel und 

verschlüsselt diesen mit Bobs öffentlichem Schlüssel 

3. Alice sendet das Chiffrat an Bob 

4. Bob dechiffriert die empfangene Nachricht mit seinem 

privaten Schlüssel 

5. Beide kommunizieren mit Hilfe des Sitzungsschlüssels 

49 / 99

Man-in-the-Middle-Attack 

Ablauf 

1. Alice sendet Bob ihren öffentlichen Schlüssel 

2. Mallory fängt diesen Schlüssel ab und schickt stattdessen 

seinen eigenen öffentlichen Schlüssel an Bob 

3. Bob sendet seinen öffentlichen Schlüssel an Alice 

4. Mallory fängt auch diesen ab und schickt stattdessen 

seinen öffentlichen Schlüssel an Alice 

5. Sendet Alice eine mit Bobs 7 öffentlichem Schlüssel 

verschlüsselte Nachricht an Bob, fängt Mallory diese ab 

und 

◮ entschlüsselt sie mit seinem privaten Schlüssel, 

◮ liest sie, 

◮ chiffriert sie mit Bobs öffentlichem Schlüssel und 

◮ schickt sie weiter an Bob. 

◮ Analog geht Mallory in der Rückrichtung (Bob → Alice) vor 

◮ Weder Alice noch Bob können diesen Angriff entdecken 

7 d. h. , Mallorys 

50 / 99

Das Interlock-Protokoll (Rivest/Shamir, 1984) 

. . . erschwert oder vereitelt den Man-in-the-Middle-Attack 

1. Alice sendet Bob ihren öffentlichen Schlüssel KA. 

2. Bob sendet Alice seinen öffentlichen Schlüssel KB. 

3. Alice chiffriert ihre Nachricht M1 mit KB und schickt die 

Hälfte der verschlüsselten Nachricht an Bob. 

4. Bob chiffriert seine Nachricht M2 mit KA und schickt die 

Hälfte der verschlüsselten Nachricht an Alice. 

5. Alice schickt die zweite Hälfte an Bob. 

6. Bob fügt beide Hälften zusammen und dechiffriert. Danach 

schickt er Alice seine zweite Hälfte. 

7. Alice setzt Bobs zweite Nachricht zusammen und 

dechriffriert. 

51 / 99

Analyse des Interlock-Protokolls 

◮ Mallory kann nicht dechiffrieren, weil er nur eine halbe 

Nachricht hat 

◮ er muss aber mit seinem privaten Schlüssel dechiffrieren, 

um anschließend mit Bobs öffentlichem Schlüssel zu 

chiffrieren 

◮ er muss eine andere Nachricht erfinden, und die Hälfte 

davon an Bob schicken (und zurück an Alice) 

Wenn Alice und Bob ihre Nachrichten vorher absprechen 8 , 

können sie mit dem Interlock-Protokoll die Authentizität ihrer 

jeweiligen öffentlichen Schlüssel prüfen und Mallory entlarven. 

8 Dafür ist aber ein sicherer Kanal notwendig. 

52 / 99

Schlüsselaustausch mit digitaler Signatur 

Idee: 

◮ Trent signiert die öffentlichen Schlüssel von Bob und Alice 

◮ Beim Schlüsselerhalt prüfen Alice und Bob Trents Signatur 

◮ → Mallory kann nicht mehr in deren jeweilige Rolle 

schlüpfen! 

53 / 99

Authentifizierung (oder Authentifikation) 

2 Rollen: 

◮ Partei, die Identität nachweisen will (Beweisender, 

„Prover“) 

◮ Partei, die Identität prüfen will (Verifizierender, „Verifier“) 

Unterscheidung von 

◮ einseitiger Authentifikation (z. B. gegenüber Rechner) und 

◮ gegenseitiger Authentifikation. 

Nutzung von 

◮ charakteristischen Eigenschaften 

◮ Besitz 

◮ Wissen 

54 / 99

Authentifizierung mittels Passwort 

naive Implementierung 

Alice 

Anmerkungen: 

{A, P} 

◮ Passwort muss erzeugt/vergeben werden 

◮ Identität A muss mit übermittelt werden 

P0 

gespeichertes 

Passwort 

P = P0 Zugang gewährt 

◮ Abspeicherung des Passwortes P0 im Klartext 

55 / 99

Authentifizierung mittels Passwort 

Nutzung einer kryptografischen Hashfunktion 

Alice 

Anmerkungen: 

{A, P} 

h(P0) 

gespeicherter 

Passworthash 

h(P) = h(P0) Zugang gewährt 

◮ Passwort nicht mehr im Klartext abgelegt → kann nicht 

gestohlen werden! 

◮ Problem: schlechte Passworte 

56 / 99

Mögliche Angriffe auf den Vorgang der 

Authentifizierung 

◮ Ausspähen des Passwortes 

◮ Social Engineering 

◮ Erraten des Passwortes 

◮ Wörterbuchangriff 

◮ Brute Force 

57 / 99

Social Engineering 

„Hallo, ich bin der freundliche Mann vom 

Rechenzentrum. Ich möchte die Virensoftware auf 

Ihrem Rechner aktualisieren und benötige dazu Ihr 

Nutzerkennzeichen und Passwort.“ 

Verwandte Themen: 

◮ „Dumpster Diving“ – Auswertung von Papierkörben, 

Abfallbehältern 

◮ „Tailgating“ – einer berechtigten Person in sensitive 

Bereiche folgen 

◮ „Shoulder Surfing“ – Ablesen/Abfilmen von Passworten bei 

der Eingabe 

Johnny Long: No Tech Hacking: A Guide to Social Engineering, 

Dumpster Diving and Shoulder Surfing. Syngress, 2008 

58 / 99

Erraten des Passwortes 

Ein legendärer Einbruch im Lawrence Berkeley National 

Laboratory, Kalifornien: 

LBL> telnet elxsi 

Elxsi at LBL 

login: root 

password: root 

incorrect passwort, try again 

login: guest 

password: guest 

incorrect passwort, try again 

login: uucp 

password: uucp 

WELCOME TO THE ELXSI COMPUTER AT LBL 

(Clifford Stoll: Kuckucksei. Fischer, 1991) 

◮ bei gut gewarteten Systemen heute nahezu aussichtslos 

59 / 99

Automatisiertes Erraten des Passwortes 

Linux-PC, Authentifizierungs-Logfile /var/log/auth.log, Ausschnitt 

Apr 5 14:44:35 idir sshd[14612]: Failed password for invalid user admin from 93.99.106.4 port 40799 ssh2 

Apr 5 14:44:39 idir sshd[14620]: Failed password for root from 93.99.106.4 port 42116 ssh2 


Apr 5 14:44:44 idir sshd[14640]: Invalid user test from 93.99.106.4 

Apr 5 14:44:46 idir sshd[14640]: Failed password for invalid user test from 93.99.106.4 port 45676 ssh2 



Apr 5 14:44:51 idir sshd[14656]: Invalid user webmaster from 93.99.106.4 

Apr 5 14:44:53 idir sshd[14656]: Failed password for invalid user webmaster from 93.99.106.4 port 48814 ssh2 

Apr 5 14:44:54 idir sshd[14666]: Invalid user user from 93.99.106.4 

Apr 5 14:44:56 idir sshd[14666]: Failed password for invalid user user from 93.99.106.4 port 50581 ssh2 

Apr 5 14:44:58 idir sshd[14674]: Invalid user username from 93.99.106.4 

Apr 5 14:45:00 idir sshd[14674]: Failed password for invalid user username from 93.99.106.4 port 51972 ssh2 

Apr 5 14:45:01 idir sshd[14684]: Invalid user username from 93.99.106.4 

Apr 5 14:45:03 idir sshd[14684]: Failed password for invalid user username from 93.99.106.4 port 53530 ssh2 

Apr 5 14:45:05 idir sshd[14692]: Invalid user user from 93.99.106.4 

Apr 5 14:45:07 idir sshd[14692]: Failed password for invalid user user from 93.99.106.4 port 55065 ssh2 


Apr 5 14:45:11 idir sshd[14710]: Invalid user admin from 93.99.106.4 

Apr 5 14:45:13 idir sshd[14710]: Failed password for invalid user admin from 93.99.106.4 port 60192 ssh2 







Apr 5 14:45:32 idir sshd[14762]: Invalid user danny from 93.99.106.4 

Apr 5 14:45:34 idir sshd[14762]: Failed password for invalid user danny from 93.99.106.4 port 41516 ssh2 

Apr 5 14:45:35 idir sshd[14770]: Invalid user sharon from 93.99.106.4 

Apr 5 14:45:37 idir sshd[14770]: Failed password for invalid user sharon from 93.99.106.4 port 42957 ssh2 

Apr 5 14:45:39 idir sshd[14780]: Invalid user aron from 93.99.106.4 

60 / 99

Wörterbuchangriff (Dictionary Attack) 

Idee: 

◮ Offline-Generierung einer Liste aus Einträgen mit 

◮ potentielles Passwort 

◮ potentielles Passwort, verschlüsselt 

◮ alle möglichen Worte, Namen, Bezeichner usw. mittels der 

Einwegfunktion des Betriebssystems verschlüsseln 

◮ Diebstahl der Passwortdatei 

◮ Vergleich der verschlüsselten Wortliste mit den Hashes 

aus der Passwortdatei 

◮ Bei Übereinstimmung ist das unverschlüsselte Passwort 

der entsprechende Eintrag aus der Wortliste 

→ Werkzeug john (Praktikum) 

61 / 99

Erschwerung des Wörterbuchangriffes mittels Salz 

◮ Passwort wird vor Verschlüsselung mit einer Zufallszahl 

konkateniert (dem Salz) 

◮ Salz wird mit in der (geheimen) Passwortdatei gespeichert 

◮ bei genügend großer Anzahl möglicher Hash-Werte wird 

ein Wörterbuchangriff unmöglich 

◮ Mallory müßte zu jedem Wort alle möglichen Salz-Werte 

durchprobieren 

62 / 99

Weitere Gegenmaßnahmen gegen Wörterbuchangriff 

◮ möglichst keine Hinweise auf Länge des PW (’*’ u. ä.) in 

der Eingabemaske 

◮ möglichst kein Hinweis, ob NKZ gültig 

◮ Verzögerung nach jedem erfolglosen Anmeldeversuch 

◮ periodisches Erneuern der Passworte: 

+ gecrackte PW werden automatisch ausgetauscht 

− Nutzer müssen periodisch neue PW lernen 

63 / 99

Anforderungen an gute Passworte 

◮ möglichst lang 

◮ gesamten Zeichenvorrat nutzen (sonst resultiert eine 

signifikante Verkleinerung des Schlüsselraums → 

Brute-Force-Angriff vereinfacht) 

◮ keine Namen, Worte (auch nicht rückwärts) 

◮ regelmäßig wechseln 

◮ computergenerierte Passworte: geringe Akzeptanz 

(werden aufgeschrieben) → Standard FIPS PUB 181 

(http://www.itl.nist.gov/fipspubs/fip181.htm) 

◮ proaktive PW-Checker prüfen gewähltes PW auf 

Mindestanforderungen 

64 / 99

Dauer von Brute-Force-Angriffen 

in Abhängigkeit vom Schlüsselraum 

4 Byte 5 Byte 6 Byte 7 Byte 8 Byte 

Kleinbuchstaben (26) 0.5 s 12 s 5 min 2.2 h 2.4 d 

Kleinbuchst.+Ziffern (36) 1.7 s 1 min 36 min 22 h 33 d 

alphanum. Zeichen (62) 15 s 15 min 16 h 41 d 6.9 a 

druckbare Zeichen (95) 1.4 min 2.1 h 8.5 d 2.2 a 210 a 

ASCII-Zeichen (128) 4.5 min 9.5 h 51 d 18 a 2300 a 

8-Bit-Zeichen (256) 1.2 h 13 d 8.9 a 2300 a 580.000 a 

Tabelle: vgl. Bruce Schneier: Angewandte Kryptographie, Pearson, 

2006, S.201 

◮ zugrundegelegt wurde eine Geschwindigkeit von 

1.000.000 Schlüsselberechnungen pro Sekunde 

65 / 99

Welche Knackgeschwindigkeit ist realistisch? 

Stefan Arbeiter, Matthias Deeg: Bunte Rechenknechte. In: c’t 06/2009, S. 204ff 

◮ abhängig vom gewählten Verschlüsselungsverfahren 

◮ System 1 - 4 Prozessoren á 6 Cores (Intel Dunnington) @ 

2.5 GHz (HP-PC, ca. 18.000 US-$) 

◮ ermittelt ca. 1.2 Milliarden NTLM-Hashes pro Sekunde 

◮ System 2 - Intel Core 2 Quad, Nvidia GeForce GTX 280 

(„Gamer-PC“, ca. 800 EUR) 

◮ CPU ca. 200 Millionen Hashes/s 

◮ GPU ca. 720 Millionen Hashes/s (CUDA 9 nutzender 

◮ 

Passwortknacker) 

 

0.9 Milliarden NTLM-Hashes pro Sekunde 

9 Compute Unified Device Architecture, eine API zur Nutzung der Shader-Prozessoren aktueller Grafikkarten für 

wissenschaftliche Berechnungen 

66 / 99

Professionelle Knack-Hardware 

a) „Deep Crack“ 

◮ 1998, 250.000 US-$, EFF 10 

◮ 1536 Kryptoprozessoren 

◮ 88 Milliarden DES-Schlüssel pro Sekunde 

b) COPACOBANA 

◮ 2006, 10.000 US-$, Unis Bochum und Kiel 

◮ 120 XILINX Spartan3-1000 FPGA 

◮ 65 Milliarden DES-Schlüssel pro Sekunde 

c) distributed.net 

◮ verteiltes Rechnen; Nutzbarmachung von idle-Time auf 

Internet-Hosts 

d) es ist davon auszugehen, dass Geheimdiensten weit 

teurere Systeme zur Verfügung stehen 

10 Electronic Frontier Foundation, eine Nichtregierungsorganisation der Vereinigten Staaten 

67 / 99

Exkurs: “Forgot your Password?” 

◮ viele (webbasierte) Dienste erfordern Authentifizierung 

(Webmail, . . . ) 

◮ im Falle eines verlorenen Passwortes wird eine 

‘persönliche’ Frage vereinbart, deren korrekte 

Beantwortung das Passwort zurücksetzt oder dem 

Eigentümer per Mail zustellt 

◮ Beispiele: 

◮ “What is your mother’s maiden name?” 

◮ “What is your dog’s name?” 

◮ Diese Informationen sind insbesondere bei Prominenten 

bzw. Netizens leicht recherchierbar! 

Literatur: Herbert H. Thompson: How I Stole Someone’s 

Identity. Scientific American, August, 2008 

http://www.sciam.com/article.cfm?id=anatomy-of-a-social-hack 

68 / 99

Exkurs: “Forgot your Password?” 

Beispiel: Sarah Palin 

◮ Yahoo-Account von Vizepräsidentschaftskandidatin Sarah 

Palin 

◮ Passwort wurde durch Unbekannte zurückgesetzt 

(09/2008) 

◮ ‘Sicherheits’fragen: 

◮ ZIP code 

◮ date of birth 

◮ “Where did you meet your husband?” → auf der Webseite 

steht, dass sie ihren Mann seit Highschool-Zeiten kennt 

und welche Highschool sie besuchte 

◮ Recherche dauerte ca. 45 Minuten 

Quelle: http://www.itworld.com/security/55185/sarah-palingoes-way-paris-hilton 

69 / 99

Rätsel 

Welche der folgenden Fragen taugen nicht für das Rücksetzen 

eines Passwortes? Können sie die folgenden Fragen für eine 

fremde Person (z. B. mich) mit wenig Aufwand recherchieren? 

Welche Ansätze für Recherchen gibt es? 

1. What is my mother’s maiden name? 

2. What was the brand of my first car? 

3. What is the name of my best friend? 

4. In which city did I grow up? 

5. What was the lastname of my kindergarden teacher? 

6. What is my favourite movie? 

7. What is my dog’s name? 

70 / 99

Challenge-Response-Verfahren 

oder: „Wer über die Brücke des Todes will gehen, der muß drei mal Rede und Antwort stehen. Dann darf er die andere Seite 

sehen.“ 

= Authentifizierung auf der Basis gemeinsamen Wissens 

1. Server stellt eine Aufgabe (Challenge)) 

2. Nutzer (bzw. ein Stellvertreterprozeß) löst die Aufgabe 

(antwortet; Response) 

3. Lösung korrekt → Login erlaubt 

Beispiel: Kopierschutz in alten Computerspielen. 

◮ Zu Beginn Frage, etwa: “Was steht im Handbuch auf 

S.412, dritte Zeile, 2. Wort?” 

◮ richtiger Begriff → Spiel startet 

◮ falscher Begriff → Abbruch 

71 / 99

Challenge-Response zur Authentifizierung 

Ablauf: 

1. Alice schickt Bob (dem Host) ihr Nutzerkennzeichen 

2. Bob sendet eine Zufallszahl („Nonce“ - (random) number, 

used once) an Alice ≡ Challenge 

3. Alice verschlüsselt die Nonce mit ihrem Passwort und 

schickt das Chiffrat an Bob ≡ Response 

4. Bob verschlüsselt die Nonce ebenfalls mit Alice’ Passwort 

(d. h., Bob muss Alice’ Passwort kennen) 

5. ist das Chiffrat gleich der Antwort von Alice, so wird 

Zugang gewährt 

72 / 99

Beispiel: Authentifizierung in Windows 

◮ Authentifizierungsprotokoll NTLM - NT Lan Manager 

◮ zum großen Teil reverse-engineered 

◮ liegt mittlerweile offen 

Grobablauf: 

1. Client (Nutzer) schickt eine sog. Type-1-Nachricht an den 

Server, die verschiedene Parameter der Authentifizierung 

festlegt 

2. Server (Host) antworter mit einer Type-2-Nachricht, die 

u. a. eine 8 Byte lange Nonce enthält 

3. Client verschlüsselt die Nonce mit seinem Passwort als 

Schlüssel, schickt Chiffrat als Type-3-Nachricht an Server 

◮ konkretes Verfahren hängt von den zuvor ausgehandelten 

Parametern ab 

◮ es wird MD4, MD5 und DES eingesetzt 

Literatur: http://davenport.sourceforge.net/ntlm.html 

73 / 99

Sicherheit von NTLM 

Stellen Zeichenraum Dauer 

6 A-Za-z0-9 1 min 

6 A-Za-z0-9, 22 SZ 6 min 

8 A-Za-z0-9 2 d, 17 h 

8 A-Za-z0-9, 22 SZ 33 d 

8 A-Za-z0-9, alle SZ 82 d 

11 A-Za-z 270 a 

Tabelle: Maximale Dauer der Ermittlung von NTLM-Passworten 

mittels „Distributed Password Recovery“ (ElcomSoft) 

◮ 22 SZ = typische Sonderzeichen, d.h. 

_@#$&+-=%*"~!?.,:;() 

◮ genutztes System: AMD Athlon X2 4850e, 2 Nvidia 

GeForce 9800 GTX 

Quelle: Stefan Arbeiter, Matthias Deeg: Bunte Rechenknechte. 

In: c’t 06/2009, S. 205 

74 / 99

Authentifizierung mit physischen Objekten 

◮ Schlüssel 

◮ Chipkarten 

◮ passiv – “Stored Value Cards”, z.B. Telefonkarten 

◮ aktiv – “Smart Cards”, ausgerüstet mit 8-Bit-CPU, Scratch 

RAM, ROM, EEPROM 

Smart 

Card 

2. Smart Card errechnet Antwort 

PC 

1. Challenge an Smart Card 

3. Response an Server 

Server 

Abbildung: Nutzung einer Smartcard zur Authentifizierung 

75 / 99

Smartcards 

◮ Smartcards können aktualisiert werden, z.B. bei Bruch des 

verwendeten Kryptografie-Verfahrens 

◮ Problem: Verlust, Diebstahl 

◮ Power Analysis Attack, um Key zu ermitteln 

76 / 99

Authentifizierung mittels biometrischer Merkmale 

Idee: Erkennung/Authentikation einer Person anhand 

individueller physischer Merkmale. 

◮ Gesichtsmerkmale (z. B. bei direkter 

Mensch-Mensch-Authentikation) 

◮ Fingerabdrücke (wahrscheinlich einzigartig innerhalb der 

gesamten Bevölkerung) 

◮ Geometrie der Hand (Form, Länge, Dicke der Finger) 

◮ Blutgefäße der Retina (ebenfalls einzigartig) 

◮ Unterschrift 

◮ Sprache 

Probleme: False-Match, False-Nonmatch 

77 / 99

Authentifizierung mit Public-Key-Kryptografie 

Hauptnachteil bei Passwortauthentifizierung: Passwort wird 

u. U. unverschlüsselt übertragen (telnet, ftp, rlogin) → 

kann durch Eve abgehört werden. 

Alternative: Public-Key-Kryptografie 

1. Host sendet Alice einen Zufallsstring Z 

2. Alice chiffriert Z mit ihrem privaten Schlüssel und schickt 

das Chiffrat mit ihrem Namen an den Host 

3. Host ruft Alice’ öffentlichen Schlüssel aus seiner 

Datenbank und dechiffriert Nachricht 

4. Stimmt Dechiffrat mit ursprünglichen String Z überein, so 

erhält Alice Zugang zum System 

78 / 99

Schlüsselaustausch mittels Diffie-Hellman-Protokoll 

1. Bob und Alice einigen sich auf eine große Primzahl n und 

eine Zahl g. 

2. Alice wählt eine (große) zufällige Zahl x (Alice’ geheimer 

Schlüssel) und berechnet X = g x mod n (Alice’ öffentlicher 

Schlüssel). 

3. Alice sendet X an Bob. 

4. Bob wählt eine (große) zufällige Zahl y (Bobs geheimer 

Schlüssel) und berechnet Y = g y mod n (Bobs öffentlicher 

Schlüssel). 

5. Bob sendet Y an Alice. 

6. Alice berechnet 

k = Y x mod n = (g y mod n) x mod n = g xy mod n, den 

geheimen Sitzungsschlüssel. 

7. Bob berechnet 

k = X y mod n = (g x mod n) y mod n = g xy mod n. 

79 / 99

Anmerkungen zum Diffie-Hellman-Protokoll 

◮ g muss primitiv modulo n sein, d.h. es muss stets ein a 

geben, so dass g a ≡ b mod n ∀ 1 ≤ b < n. 

◮ Eve kann X und Y abfangen, es nützt ihr aber nichts, sie 

kann g xy mod n nicht aus g x mod n und g y mod n 

berechnen. 

Beispiel: 

Alice Bob 

g = 4, n = 11 

x = 3 y = 4 

X = 4 3 mod 11 = 9 Y = 4 4 mod 11 = 3 

X = 9 → B A ← Y = 3 

k = Y x mod n k = X y mod n 

= 3 3 mod 11 = 5 = 9 4 mod 11 = 5 

80 / 99

Authentifizierung und Schlüsselaustausch 

Überblick 

Ziel: Alice und Bob wollen sich gegenseitig authentifizieren und 

sicher miteinander kommunizieren (→ Schlüsselaustausch) 

◮ Wide-Mouthed-Frog (Breitmaulfrosch) 

◮ Needham-Schroeder-Protokoll 

◮ Kerberos 

81 / 99

Wide-Mouthed-Frog 

◮ Voraussetzung: Alice und Bob benötigen geheimen 

Schlüssel zur Kommunikation mit Trent 

1. Alice konkateniert einen Zeitstempel TA, Bobs Namen und 

einen zufälligen Sitzungsschlüssel KAB und chiffriert alles 

mit dem Schlüssel KAT für Trent-Alice. Sie sendet ihren 

Namen und das Chiffrat an Trent: 

A, KAT (TA, B, KAB) → Trent 

2. Trent dechiffriert die Nachricht. Dann konkateniert er einen 

weiteren Zeitstempel TB, Alice’ Namen und den 

Sitzungsschlüssel KAB. Alles wird mit dem Schlüssel KBT 

für Trent-Bob chiffriert und an Bob geschickt: 

KBT (TB, A, KAB) → Bob 

82 / 99

Wide-Mouthed-Frog 

Anmerkungen 

◮ symmetrisches Verfahren 

◮ sehr simpel; nur zwei Nachrichten sind notwendig 

◮ Alice muss in der Lage sein, einen sehr guten 

Sitzungsschlüssel zu generieren (Zufallszahlen sind 

schwierig zu generieren!) – Bob vertraut Alice 

dahingehend 

◮ Zeitstempel verhindern (bzw. erschweren) Replay-Attacke 

◮ erfordert eng synchronisierte Uhren 

◮ zustandbehaftetes Protokoll: Was tut Trent, wenn Bob nicht 

antwortet? 

◮ Michael Burrows et al: A Logic of Authentication. DEC 

Systems Research Center, Report No. 39, 1989 

83 / 99

Needham-Schroeder-Protokoll (Achtung, kompliziert!) 

Voraussetzungen: 

◮ symmetrisch, Trent benötigt 

◮ Alice und Bob verfügen über geheime Schlüssel KAT 

bzw. KBT , um mit Trent zu kommunizieren. 

Ablauf: 

1. Alice generiert eine Zufallszahl RA und schickt diese mit 

ihrem und Bobs Namen an Trent: 

(A, B, RA) → Trent 

2. Trent generiert einen zufälligen Sitzungsschlüssel KAB für 

Alice und Bob. 

3. Trent chiffriert mit KBT eine Nachricht (für Bob), die KAB 

und Alice’ Namen enthält. 

KBT (KAB, A) 

84 / 99

Needham-Schroeder-Protokoll 

Teil 2 

4. Trent chiffriert RA, Bobs Namen, KAB und das eben 

generierte Chiffrat mit KAT und schickt dieses an Alice. 

KAT (RA, B, KAB, KBT (KAB, A)) → Alice 

5. Alice entschlüsselt die Nachricht, extrahiert KAB und prüft, 

ob RA der in Schritt 1 generierten Zufallszahl entspricht. 

6. Falls ja, so schickt sie die für Bob bestimmte Subnachricht 

an diesen 

KBT (KAB, A) → Bob 

7. Bob dechiffriert die Nachricht und extrahiert KAB. Dann 

generiert er eine zweite Zufallszahl RB, chiffriert diese mit 

KAB und schickt die Nachricht an Alice. 

KAB(RB) → Alice 

85 / 99


Teil 3 

8. Alice dechriffriert die Nachricht mittels KAB. Sie generiert 

RB − 1, chiffriert diese Zahl mit KAB und sendet das 

Chiffrat an Bob: 

KAB(RB − 1) → Bob 

9. Bob dechiffriert diese Nachricht und prüft, dass RB − 1 

gesendet wurde. 

86 / 99


Diskussion 

◮ Zufallszahlen (Nonces) RA, RB dienen der Verhinderung 

von Replay-Angriffen: Mallory zeichnet Nachrichten auf 

und versucht damit (später) die Integrität des 

Datenverkehrs zu unterwandern 

◮ Hier: Mallory könnte durch Aufzeichnung und Replay der 

Nachrichten 4 und 6 die Kommunikationspartner zwingen, 

einen alten (kompromittierten) Schlüssel KAB 

weiterzuverwenden 

Resultat des Algorithmus 

◮ Generierung eines geeigneten Schlüssels durch Trent 

◮ Verteilung des Schlüssels zwischen Alice und Bob 

◮ Alice authentifiziert sich gegenüber Bob durch Nachricht 8 

87 / 99


Schwäche: kompromittierter Schlüssel erlaubt Replay-Attacke 

◮ kein „Verfall“ alter Schlüssel (Managementproblem!) 

◮ Bob hat keine Möglichkeit zu testen, ob der Schlüssel KAB 

frisch generiert wurde 

◮ wenn Mallory in den Besitz irgendeines alten Schlüssels 

KAB kommt, kann er Nachricht 6 aufzeichnen und später 

wieder Bob vorspielen (Replay-Attacke) 

◮ Bob generiert die Nonce, verschlüsselt sie mit dem 

kompromittierten Key und schickt sie an Alice 

◮ Mallory fängt die Nachricht ab und kann sich fortan als 

Alice ausgeben. 

→ Needham-Schroeder-Protokoll nur noch von historischem 

Interesse 

88 / 99

Kerberos 

Überblick 

◮ Protokoll zur Authentifizierung in TCP/IP-basierten Netzen 

◮ Ziel: Einrichtung sicherer Kommunikationskanäle zwischen 

einem Client und beliebigen Servern in einem verteilten 

System 

◮ Weiterentwicklung des Needham-Schroeder-Protokolls 

◮ basierend auf symmetrischer Verschlüsselung 

◮ erfordert vertrauenswürdige Instanz (Trent) 

◮ jeder Teilnehmer besitzt geheimen Schlüssel zur 

Kommunikation mit Trent 

◮ Identitätsbeweis = Kenntnis des Schlüssels 

◮ Versionen 4 und 5 (RFC 4120) 

89 / 99

Wer ist Kerberos eigentlich? 

◮ auch Cerberus 

◮ ein-, drei- oder fünfzigköpfiger Hund, der den Hades, die 

Unterwelt in der griechischen Mythologie, bewacht 

„Auch den Kerberos sah ich, mit bissigen Zähnen bewaffnet 

Böse rollt er die Augen, den Schlund des Hades bewachend. 

Wagt es einer der Toten an ihm vorbei sich zu schleichen, 

So schlägt er die Zähne tief und schmerzhaft ins Fleisch der Entfliehenden 

Und schleppt sie zurück unter Qualen, 

Der böse, der bissige Wächter.“ 

(Odyssee) 

90 / 99

Initiative: Mehr Bilder in der Vorlesung ... 

Abbildung: Kerberos, gezeichnet von Pearson Scott Foresman 

(Quelle: http://commons.wikimedia.org/wiki/File:Cerberus_(PSF).png) 

91 / 99

Von Needham-Schroeder zu Kerberos 

Basisprotokoll 

Idee: Aufnahme eines Zeitstempels, um Replay-Attacken 

effektiver zu bekämpfen. 

Ablauf: 

1. Alice sendet an Trent eine Nachricht mit ihrer und Bobs 

Identität: 

(A, B) → Trent 

2. Trent generiert einen Sitzungsschlüssel KAB. 

3. Trent generiert eine Nachricht mit Zeitstempel T , 

Geltungsdauer L, KAB und Alice’ Identität und chiffriert 

diese mit Bobs Schlüssel KBT . 

KBT (T , L, KAB, A) 

92 / 99

Kerberos 

Basisprotokoll, contd. 

4. Trent generiert eine analoge Nachricht, jedoch mit Bobs 

Identität, die er mit Alice’ Schlüssel KAT chiffriert. 

KAT (T , L, KAB, B) 

5. Trent schickt beide Nachrichten an Alice. 

KBT (T , L, KAB, A), KAT (T , L, KAB, B) → Alice 

6. Alice generiert eine Nachricht mit ihrer Identität und dem 

Zeitstempel und verschlüsselt diese mit KAB. 

KAB(T , A) 

7. Alice schickt diese und Trents Nachricht an Bob. 

KAB(T , A), KBT (T , L, KAB, A) → Bob 

93 / 99

Kerberos 

Basisprotokoll, contd. 

8. Bob generiert eine Nachricht mit dem Zeitstempel + 1, 

chiffriert diese mit KAB und schickt sie an Alice. 

KAB(T + 1) → Alice 

Voraussetzung: Alice, Bob und Trent haben ausfallsichere 

synchronisierte Uhren! 

94 / 99

Tickets und Authentikatoren 

Kerberos unterscheidet zwei Formen der Legitimation: 

Ticket 

◮ durch Kerberos erzeugt 

◮ zur sicheren Übertragung der Identität eines 

dienstanfordernden Clients c an einen Server s 

◮ mit geheimem Schlüssel Ks des Servers verschlüsselt 

◮ besitzt Geltungsdauer, innerhalb derer der Client Anfragen 

an den Server stellen kann 

Authentikator 

◮ zusätzliche Legitimation 

◮ durch Client erzeugt 

◮ wird dem Server gemeinsam mit Ticket präsentiert 

95 / 99

Struktur eines Tickets 

mit 

Tc,s = s, {c, a, v, Kc,s} Ks 

Symbol Bedeutung 

s Server 

c Client 

a IP-Adresse des Clients 

v Geltungsdauer des Tickets 

Kx,y 

Kx 

Sitzungsschlüssel für x und y 

geheimer Schlüssel von x 

{m}Kx Nachricht m, mit Kx verschlüsselt 

96 / 99

Struktur eines Authentikators 

mit 

Ac,s = {c, t, Schlüssel} Kc,s 

Symbol Bedeutung 

c Client 

t Zeitstempel 

Kx,y 

Sitzungsschlüssel für x und y 

Schlüssel weiterer (optionaler )Sitzungsschlüssel 

97 / 99

Kerberos 

Überblick Authentifizierungsschritte 

Authentication Server Ticket Granting Server 

Kerberos 

1: Anforderung TGT 

3: Anforderung 

Serverticket 

2: TGT 

Client 

TGS 

4: Serverticket 

5: Dienstanforderung 

Server 

98 / 99

Was haben wir gelernt? 

1. Kryptografische Hashes 

2. Signaturen 

3. Schlüsselaustauschprotokolle 

4. Authentifizierung 

5. Schlüsselaustausch und Authentifizierung 

6. einige Formen von Angriffen 

◮ Brute Force 

◮ Replay-Attacke 

◮ Man-in-the-Middle-Attack 

◮ Social Engineering 

◮ Wörterbuchangriff 

7. Authentifizierung und Schlüsselaustausch 

99 / 99

Teil 3: Grundlagen der Kryptographie 2

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?