Inhalt nur in Englisch verfügbar

TheNet Authentifikation - Kryptanalyse

Diese Untersuchung wird sich auf die Verwundbarkeit bei Mitlesen der zur Autorisierung übertragenen Daten konzentrieren. Da die Daten ungeschützt über Funk ausgetauscht werden, stellt dies für den potentiellen Angreifer den einfachsten Weg dar.

Wie funktioniert das Verfahren?

System und Nutzer sind die einzigen Kenner eines geheimen Paßwortes.

Wenn das System die Identität des Nutzers überprüfen will, wird das folgende Protokoll abgearbeitet:

  1. Das System sendet dem Nutzer fünf voneinander verschiedene Zufallszahlen, die so gewählt sind, daß jede eine gültige Stelle des geheimen Paßwortes darstellt.

  2. Der Nutzer sendet daraufhin eine Antwort, in der die Zeichen der durch die Zufallszahlen bezeichneten Stellen des geheimen Paßwortes zusammenhängend und in der richtigen Reihenfolge - aber an beliebiger Stelle - in eine Kette von Zufallszeichen eingefügt sind.

  3. Das System überprüft, ob die fünf Zeichen die es aus seiner Kopie des Paßwortes gewonnen hat zusammenhängend und in der richtigen Reihenfolge in der Antwort enthalten sind. Ist dies der Fall, nimmt das System an, daß der Nutzer im Besitz des Paßwortes ist und folgert, daß er der ist, der er zu sein vorgibt.

Angriff durch Schnittmengenbildung

Da das Paßwort konstant ist, muss es in der Schnittmenge der aus jeder mitgehörten Authentifizierung gewonnenen Menge möglicher Paßwortkandidaten enthalten sein. Problem ist die Bestimmung einer möglichst kleinen Menge von Paßwortkandidaten aus den mitgehörten Informationen. Dies geschieht wie folgt:

  • Alle Zeichen der Lösung müssen in der Antwort vorkommen. Folglich scheiden alle Zeichen, die nicht enthalten sind, aus.

  • Dadurch, daß die Zeichen der Lösung aufeinanderfolgend in der Reihenfolge der Anfrage angeordnet sein müssen, kommen für das erste nur die Zeichen 1 bis n-4, fuer das zweite nur 2 bis n-3 usw. der Antwort in Frage. (n ist dabei die Länge der Antwort)

  • Daraus folgt aber auch die noch stärkere Bedingung, daß die jeweils anderen Zeichen des Paßwortes nur aus den Zeichen der Antwort bestehen können, die dort an den entsprechenden Positionen relativ zu den für das betrachtete Zeichen des Paßwortes in Frage kommenden Zeichen der Antwort stehen.

In der Regel ist nach 10 Benutzungen eines alphanumerischen Paßwortes der Länge 60 mit Antworten der Länge 50 schon mehr als die Hälfte der Zeichen bestimmbar. Da nur schwer vorstellbar ist, daß das wirklich so schnell geht, hier ein kleiner Simulator in Form eines Java Applets. Und die, die dem Simulator nicht trauen, können ihre Echtdaten in den Cracker eingeben, der hier ebenfalls als Java Applet zur Verfügung steht:

Simulator starten   |   Cracker starten

Angriff durch Entropiedifferenz

Im Gegensatz zum ersteren, führt dieser Angriff nicht zwangsweise zum korrekten Ergebnis, kann jedoch gegebenenfalls noch schneller ein Resultat hervorbringen. Voraussetzung hierfür ist, daß die Antwort manuell verfaßt wird. Es wird über die gesamte Antwort eine Entropiebestimmung für jedes Zeichen in Bezug auf die jeweils zwei nächsten Nachbarn auf beiden Seiten vorgenommen. Da Menschen denkbar schlechte Zufallsgeneratoren sind, wird die Entropie dort, wo der Paßwortteil enthalten ist, größer sein.

Da jedoch das erste Verfahren so effektiv arbeitet, wurde diese Variante nicht weiter verfolgt.

Angriff durch Frequenzbestimmung

Fuer jede Position des Paßwortes wird ueber alle Antworten, bei denen das Zeichen an dieser Position abgefragt wurde, eine Frequenzbestimmung durchgeführt. Da die Antwort das abgefragte Zeichen enthalten muss, aber sonst aus zufälligen Zeichen besteht, wird das gesuchte Zeichen das mit der höchsten Frequenz sein.
Voraussetzung hierfür ist jedoch eine relativ große Datenmenge für eine sinnvolle Frequenzanalyse.

Auch diese Möglichkeit wurde nicht weiter verfolgt. Jedoch könnte sie bei Paßworten mit sehr kleinem verwendeten Zeichensatz und gleichzeitig großen Längen durchaus interessant werden.

Schutzmaßnahmen

Es ist offensichtlich, daß die TheNet Authentifizierung für Anwendungen, bei denen ein gezielter, vorbereiteter Angriff in Frage kommt, völlig ungeeignet ist. Auf keinen Fall sollte sie an Stellen eingesetzt werden wo ein Eindringling Schaden anrichten könnte. Auch sonst nur dann, wenn bloß in Ausnahmefällen von der Authentifizierung gebraucht gemacht wird.

Wesentlich mehr Sicherheit bietet zum Beispiel ein MD5-basiertes Verfahren.

Wenn keine Ausweichmöglichkeit vorhanden ist, sollten folgende Punkte beachtet werden:

  • Die Authentifizierung so selten wie möglich nutzen und das Paßwort regelmäßig wechseln,
  • Die maximal mögliche Paßwortlänge verwenden.
  • Die maximal mögliche Antwortlänge verwenden.
  • Paßwort- und Antwortzeichen müssen aus genau dem selben Zeichensatz gewählt werden.
  • Je weniger verschiedene Zeichen verwendet werden, desto häufiger kommt jedes Zeichen vor und desto länger dauert es, bis eine Reduzierung der Kandidaten möglich ist.
    Im Endeffekt gilt es hier einen Kompromiß aus der Anfälligkeit für Brute Force und obiges Verfahren zu finden.

Kommentare