Beskedgodkendelseskode

En beskedgodkendelseskode ( MAC ; tysk meddelelsesgodkendelseskode ) bruges til at opnå sikkerhed om oprindelsen af data eller meddelelser og deres integritetskontrol . MAC-algoritmer kræver to inputparametre, for det første dataene, der skal beskyttes, og for det andet en hemmelig nøgle og beregner et kontrolsum ud fra begge , meddelelsesgodkendelseskoden.

funktionalitet

Sådan fungerer en MAC

Integriteten af en meddelelse, der skal transmitteres, kan kontrolleres ved hjælp af MAC'er som følger: For det første er afsender og modtager enige om en hemmelig nøgle. Afsenderen beregner en MAC for denne nøgle og dens besked og sender derefter beskeden og MAC til modtageren. Dette beregner MAC for den modtagne besked med nøglen og sammenligner den beregnede MAC med den modtagne. Modtageren fortolker aftalen mellem begge værdier som en vellykket integritetstest: Meddelelsen blev sendt af en part, der kender den hemmelige nøgle, og den blev ikke ændret under transmission.

MAC'er beskytter ikke mod gentagelsesangreb . For at gøre dette skal selve meddelelsen indeholde data, der sikrer, at gentagelser kan detekteres (f.eks. Tidsstempel, sekvensnummer eller ved brug af engangs-MAC'er).

Bestemmelse af MAC

MAC'er er enten baseret på blokkoder eller hashfunktioner eller er specielt udviklede MAC'er. En almindelig metode til MAC-beregning, HMAC , er baseret på kryptografiske hashfunktioner og bruges f.eks . I SSL og IPsec . En almindelig metode baseret på blokcifre er den krypteringsbaserede meddelelsesautentificeringskode (CMAC) specificeret i NIST Specialpublikation 800-38B, som bruges i forbindelse med AES eller Triple DES . En ældre metode til beregning af en MAC baseret på DES og CBC er standardiseret som ANSI X9.9, men er siden blevet tilbagekaldt på grund af sikkerhedsmangler. En særlig MAC er Message Authentication Algorithm (MAA), som blev udviklet i 1983 som en standard for banker.

Differentiering af hash-funktioner og digitale signaturer

Kryptografiske hashfunktioner kan bruges til at beregne MAC'er, men MAC'er går ud over brugen af enkle hashværdier: Hvis en meddelelse kun blev sendt med dens hashværdi som en MAC, ville dette ikke være sikkert, fordi hashfunktionen er offentligt kendt. En hacker kan ændre meddelelsen og beregne og overføre en ny hash-værdi til den nye besked. Men hvis afsenderen og modtageren deler en hemmelighed, kan dette medtages i hashberegningen, så en angriber ikke er i stand til at beregne den passende hashværdi efter at have ændret en meddelelse.

Selvom MACs manipulationssikkerhed antyder et forhold til digitale signaturer , er der forskelle mellem de to metoder. MAC'er adskiller sig fra digitale signaturer ved at kontrollere MAC kræver viden om den samme hemmelige nøgle, der blev brugt til at beregne den. Derfor kan enhver, der kan kontrollere en MAC, også beregne den; følgelig er han ude af stand til at bevise for tredjeparter, hvem beskeden kom fra. I modsætning hertil oprettes digitale signaturer ved hjælp af en nøgle, der kun er kendt af afsenderen, og verificeret ved hjælp af en offentlig nøgle. Dette sikrer, at underskriveren er i besiddelse af den private nøgle, og at der er stor sandsynlighed for, at det er den specificerede forfatter af meddelelsen.

Informationsteoretisk sikre procedurer

eksempel

En almindelig tekstbit ( A eller B ) skal transmitteres på en godkendt måde ved hjælp af en 1-bit MAC. Nøglen er to bits lang.

nøgle	(A, 0) *	(A, 1) *	(B, 0) *	(B, 1) *
00	EN.		B.
01	EN.			B.
10		EN.	B.
11		EN.		B.

* (Tekst, MAC)

Meddelelsen AABB under den (tidligere aftalte) hemmelige nøgle 11000110 transmitteres derefter som (A, 1) (A, 0) (B, 1) (B, 0).

Sikkerhedsanalyse

Antag, at en angriber opfanger det første transmitterede par fra eksemplet ovenfor og forsøger at sende en B i stedet for A. For at ændringen ikke bliver bemærket, og han ikke bliver bemærket, har han brug for den passende MAC. Han ved fra oversigten, at den tilsvarende nøglesektion er 10 eller 11 . Med denne viden er det imidlertid ikke muligt for ham at vælge mellem (B, 0) og (B, 1). Han står over for nøjagtigt den samme beslutning selv uden at kende nøglesektionen, dvs. spørgsmålet MAC = 0 eller MAC = 1. Så i gennemsnit gætter han korrekt i hvert andet tilfælde.

Denne kendsgerning kan bruges til generelt at definere informationsteoretisk sikkerhed.

{\ displaystyle W (x \ mid S) = W (x)}

(for notation se betinget sandsynlighed )

Med ord: uanset den a-priori kendskab til almindelig tekst x , modtager en angriber ikke yderligere oplysninger ved at se krypteringsteksten S (her: almindelig tekst og MAC) eller dele af den. Dette giver absolut sikkerhed ifølge Shannon .

Under alle overvejelser antages det naturligvis, at det beskrevne system fungerer korrekt og også bruges på den måde. Hvis angriberen z. Hvis for eksempel den hemmelige nøgle (eller dele) er i hånden, skal systemer, der er sikre med hensyn til informationsteori, også brydes.

egenskaber

Følgende egenskaber vedrører det generelle tilfælde. Især er der afledte, mere effektive processer af samme kvalitet.

Fejlsandsynligheden (på eksemplet: 0.5) bestemmes ud fra længden på den anvendte MAC pr. Beskedbit (i eksemplet: 1) ${\ displaystyle \ varepsilon}$ ${\ displaystyle \ sigma}$ ${\ displaystyle \ varepsilon = 2 ^ {- \ sigma}}$

Da der altid skal være en passende MAC, der kan gises tilfældigt, kan selv udvidelse af MAC ikke garantere en sandsynlighed for nul. På grund af det asymptotiske forhold nærmer sandsynligheden sig imidlertid hurtigt ubetydelige dimensioner.

Den nødvendige nøgellængde (ved hjælp af eksemplet: 2) bestemmes af . Så hvis du vil sende en meddelelse af længde , kræves nøglebits (i eksemplet: 8). ${\ displaystyle 2 \ sigma}$ ${\ displaystyle l}$ ${\ displaystyle l2 \ sigma}$

I lighed med engangspuden opstår spørgsmålet også her, hvor mange nøgler der er nødvendige for at sikre den ønskede og netop beskrevne sikkerhed. Generelt er denne værdi også specificeret. Ovenstående eksempel med de angivne dimensioner (inklusive størrelsen på MAC og nøgle) er derfor optimalt. ${\ displaystyle \ epsilon ^ {- 2}}$

litteratur

Charlie Kaufman, Radia Perlman, Mike Speciner: Netværkssikkerhed: Privat kommunikation i en offentlig verden. Prentice Hall PTR, Upper Saddle River, New Jersey 2002, ISBN 0-13-046019-2 .
Alfred J. Menezes, Paul C. van Oorschot, Scott A. Vanstone: Handbook of Applied Cryptography. CRC Press, 2001, ISBN 0-8493-8523-7 . (online)
William Stallings: Kryptografi og netværkssikkerhed: Principper og praksis. 5. udgave. (International Edition), Prentice Hall, 2011, ISBN 978-0-13-705632-3 .

Individuelle beviser

↑ dict.cc: godkendelseskode for meddelelse <MAC> | Beskedgodkendelseskode
↑ ^a^b Menezes et al: Handbook of Applied Cryptography. S. 323.
↑ Menezes et al.: Handbook of Applied Cryptography. S. 364.
^ Stallings: Kryptografi og netværkssikkerhed: Principper og praksis. S. 400.
^ Stallings: Kryptografi og netværkssikkerhed: Principper og praksis. S. 404.
↑ X9-komité: Tilbagetrækning af ANSI X9.9, godkendelse af finansielle institutioners meddelelser (PDF; 157 kB) Arkiveret fra originalen 5. februar 2007. Hentet den 9. november 2011.
^ Kaufman et al .: Netværkssikkerhed: Privat kommunikation i en offentlig verden. S.56.
↑ ^a^b^c Kaufman et al .: Netværkssikkerhed: Privat kommunikation i en offentlig verden. S. 51.

[1] t.cc: godkendelseskode for meddelelse <MAC> | Beskedgodkendelseskode

[handbook_applied_cryptography_323-2] Menezes et al: Handbook of Applied Cryptography. S. 323.

[handbook_applied_cryptography_364-3] Menezes et al.: Handbook of Applied Cryptography. S. 364.

[4] Stallings: Kryptografi og netværkssikkerhed: Principper og praksis. S. 400.

[5] Stallings: Kryptografi og netværkssikkerhed: Principper og praksis. S. 404.

[6] X9-komité: Tilbagetrækning af ANSI X9.9, godkendelse af finansielle institutioners meddelelser (PDF; 157 kB) Arkiveret fra originalen 5. februar 2007. Hentet den 9. november 2011.

[network_security_56-7] Kaufman et al .: Netværkssikkerhed: Privat kommunikation i en offentlig verden. S.56.

[network_security_51-8] Kaufman et al .: Netværkssikkerhed: Privat kommunikation i en offentlig verden. S. 51.

Languages