Authentikationscode
aus Wikipedia, der freien Enzyklopädie
 |
Die Artikel Message Authentication Code und Authentikationscode überschneiden sich thematisch. Hilf mit, die Artikel besser voneinander abzugrenzen oder zu vereinigen. Die Diskussion über diese Überschneidungen findet hier statt. Bitte äußere dich dort, bevor du den Baustein entfernst. Priwo 20:29, 2. Aug 2006 (CEST) |
Authentikationscodes sind informationstheoretisch sichere symmetrische Authentikationssysteme und schützen vor unbemerkten Manipulationen. Damit dienen sie der Sicherung der Datenintegrität. Im Gegensatz zu Kryptosystemen verschlüsseln sie die Daten nicht.
Inhaltsverzeichnis |
[Bearbeiten] Funktionsweise
Für ein symmetrisches Authentikationssystem wird ein zuvor an Sender und Empfänger ausgegebener geheimer Schlüssel benötigt. Der Sender erzeugt mittels geheimen Schlüssels und der zu übermittelnden Nachricht (Klartext) einen Prüfteil (Message Authentication Code, MAC). Übersendet werden Nachricht und MAC. Der Empfänger erstellt ebenfalls aus der erhaltenen Nachricht und dem geheimen Schlüssel den MAC und vergleicht diesen mit dem vom Sender verschickten. Stimmen beide überein, dann wurde die Nachricht wahrscheinlich nicht geändert. Die Genauigkeit der letzten Aussage kann durch Dimensionierung von Parametern selbst bestimmt werden.
[Bearbeiten] Beispiel
Ein Klartextbit (A oder B) soll mittels eines 1-Bit MAC authentisiert übertragen werden. Der Schlüssel ist zwei Bit lang.
(Text,MAC)
Schlüssel (A,0) (A,1) (B,0) (B,1)
00 A B
01 A B
10 A B
11 A B
Die Nachricht AABB unter dem (zuvor vereinbarten) geheimen Schlüssel 11000110 wird dann als (A,1)(A,0)(B,1)(B,0) übertragen.
[Bearbeiten] Sicherheitsanalyse
Angenommen ein Angreifer fängt das erste übertragene Paar aus obigem Beispiel ab und versucht, anstelle des A ein B zu übersenden. Damit die Änderung nicht bemerkt wird und er nicht auffällt, benötigt er den passenden MAC. Ihm ist aus der Übersicht bekannt, dass der entsprechende Schlüsselabschnitt 10 oder 11 lautet. Mit diesem Wissen ist es ihm aber nicht möglich, sich zwischen (B,0) und (B,1) zu entscheiden. Genau vor der gleichen Entscheidung steht er auch ohne Kenntnis des Schlüsselabschnitts, also der Frage MAC=0 oder MAC=1. Er rät also durchschnittlich in jedem zweiten Fall richtig.
Über diesen Sachverhalt kann man allgemein informationstheoretische Sicherheit definieren.
W(x|S) = W(x) (zur Notation siehe Bedingte Wahrscheinlichkeit)
In Worten: Unabhängig der a priori Kenntnis über den Klartext x erhält ein Angreifer durch Sehen des Schlüsseltextes S (hier: Klartext und MAC) (oder Teilen davon) keine Information hinzu.
Bei allen Betrachtungen wird natürlich vorausgesetzt, dass das beschriebene System korrekt funktioniert und auch so benutzt wird. Fällt dem Angreifer z. B. der geheime Schlüssel (oder -teile) in die Hand, so sind auch informationstheoretisch sichere Systeme zu brechen.
[Bearbeiten] Eigenschaften
Die folgenden Eigenschaften beziehen sich auf den allgemeinen Fall. Im speziellen gibt es abgeleitete effizientere Verfahren gleicher Qualität.
Die Fehlerwahrscheinlichkeit ε (am Beispiel: 0,5) bestimmt sich aus der Länge σ des pro Nachrichtenbit verwendeten MAC (am Beispiel: 1).
ε = 2 − σ
Da es immer einen passenden und damit zufällig zu erratenen MAC geben muss, kann auch durch die Verlängerung des MAC keine Wahrscheinlichkeit gleich Null garantiert werden. Durch den asymptotischen Zusammenhang nähert sich die Wahrscheinlichkeit aber schnell vernachlässigbaren Dimensionen.
Die nötige Schlüssellänge (am Beispiel: 2) bestimmt sich durch 2σ. Möchte man also eine Nachricht der Länge l übertragen, sind 
Schlüsselbits (am Beispiel: 8) nötig.
Analog zum One-Time-Pad stellt sich hier ebenfalls die Frage, wieviele Schlüssel notwendig sind, um die gewünschte und eben beschriebene Sicherheit zu gewährleisten. Allgemein wird dieser Wert mit ε − 2 angegeben. Damit ist das obige Beispiel mit der angegebenen Dimensionierung (u.a. Größe von MAC und Schlüssel) optimal.
