Einstieg - (Wo)Man in the middle Angriff
Mr(s) X hört mit!
Alice möchte bei Bobs Internetversand eine Bestellung aufgeben und muss ihm deshalb die Nummer ihrer Kreditkarte übermitteln. Diese vertrauliche Information soll keinesfalls in die Hände von Mr(s) X fallen.
Aufgabe 1
Bob hat sich ein Schlüsselpaar bestehend aus einem öffentlichen und einem privaten Schlüssel erzeugt. Bob schickt seinen öffentlichen Schlüssel auf Anfrage an Alice. Alice benützt nun diesen Schlüssel, um ihre Kreditkartennummer an Bob zu verschicken. Bob bestätigt den Erhalt der Kreditkartennummer mit einer signierten Nachricht. Beurteile die Sicherheit des beschriebenen Szenarios: Kann sich Alice sicher sein, dass sie wirklich Bobs öffentlichen Schlüssel erhält?
Mr(s) X schiebt sich dazwischen!
Mr(s) X hat eine Möglichkeit gefunden, den Datenverkehr zwischen Alice und Bob abzufangen.
Aufgabe 2
Warum merkt Alice hier nichts vom (Wo)Man in the middle Angriff
?
Worin besteht die Schwierigkeit? Siehst du Lösungsansätze?
CA(rl) kommt ins Spiel!
CA(rl) bietet an, gegen ein Entgeld öffentliche Schlüssel zu verwalten. Er macht das aber nur, wenn man sie ihm vorab persönlich übergibt und sich ausweist. Als Gegenleistung überbringt CA(rl) seinen eigenen öffentlichen Schlüssel persönlich an alle gewünschten Personen.
Bob ist Internethändler und nimmt das Angebot von CA(rl) in Anspruch. Er hinterlässt seinen öffentlichen Schlüssel bei CA(rl) und beauftragt ihn, seinen - also CA(rl)s - öffentlichen Schlüssel an Alice zu übergeben.
Aufgabe 3
(a) Wie erhält Alice hier den öffentlichen Schlüssel von Bob? Kann sie sicher sein, dass sie wirklich Bobs öffentlichen Schlüssel erhält?
(b) Mr(s) X kann sich auch hier zwischen Alice und Bob schieben. Analysiere hierzu die folgende Abbildung. Von welchen Annahmen geht man hier aus?
CA(rl) signiert die hinterlegten Schlüssel!
CA(rl) übernimmt jetzt die Rolle der sogenannten Certification Authority (CA)
.
Seine Aufgabe ist es, die Echtheit von Schlüsseln zu gewährleisten.
CA(rl) bietet hier an, gegen ein Entgeld öffentliche Schlüssel zu signieren. Er macht das aber nur, wenn man sie ihm vorab persönlich übergibt und sich ausweist. Zusätzlich überbringt CA(rl) seinen eigenen öffentlichen Schlüssel persönlich an alle gewünschten Personen.
Bob ist Internethändler und nimmt das Angebot von CA(rl) in Anspruch. Er lässt seinen öffentlichen Schlüssel von CA(rl) signieren und beauftragt CA(rl), seinen - also CA(rl)s - öffentlichen Schlüssel an Alice zu übergeben.
Aufgabe 4
Alice und Bob benutzen hier ein symmetrisches Chiffrierverfahren, um ihre geheimen Nachrichten vor Mr(s) X zu verbergen. Hat Mr(s) X eine Chance, die Nachrichten mitzulesen?
Hinweis
Wir haben CA(rl) hier als Person dargestellt, die ihren Schlüssel persönlich an andere Personen überbringt. Das wird in der Wirklichkeit etwas anders realisiert. Wie, erfährst du in Abschnitt Exkurs - Browser-Experimente.