Rechnernetze

Authentisierung durch Passwörter

Um sich zu authentisieren, können zwei Partner A und B Passwörter austauschen.

A erzeugt E_k(P_A) Þ B

A Ü E_k(P_B) erzeugt von B

Ein Angreifer Z kann sich dazwischen schalten und mit A und B Schlüssel k_A bzw. k_B nach dem Diffie-Hellman-Verfahren vereinbaren. Der Austausch von Passwörtern ermöglicht keine eindeutige Identifizierung der jeweiligen Gegenstelle.

A erzeugt E_{k_A}(P_A) Þ Z erzeugt P_A=D_{k_A}(E_{k_A}(P_A)) und E_{k_B}(P_A) Þ B

A Ü E_{k_A}(P_B) erzeugt von Z aus P_B=D_{k_B}(E_{k_B}(P_B)) Ü E_{k_B}(P_B) erzeugt von B

Der Austausch von Passwörtern kann jedoch einfach sicher gemacht werden, indem sich A und B abwechselnd jeweils die Hälften der beiden verschlüsselten Passwörter E_k(P_A) bzw. E_k(P_B) senden.

A erzeugt E_k(P_A)|_links Þ B

A Ü E_k(P_B)|_links erzeugt von B

A erzeugt E_k(P_A)|_rechts Þ B

A Ü E_k(P_B)|_rechts erzeugt von B

B sendet die erste Hälfte seines verschlüsselten Passworts erst, nachdem er die erste Hälfte von A's verschlüsseltem Passwort erhalten hat. A sendet die zweite Hälfte seines verschlüsselten Passworts erst, nachdem er die erste Hälfte von B's verschlüsseltem Passwort erhalten hat. Und schließlich sendet B die zweite Hälfte seines verschlüsselten Passworts erst, nachdem er die zweite Hälfte von A's verschlüsseltem Passwort erhalten hat.

Hat sich ein aktiver Angreifer Z in die Leitung eingeschaltet und mit A und B jeweils einen eigenen Schlüssel vereinbart, so kann Z zwar einen geheimen Text entschlüsseln und ihn neu verschlüsselt an B senden,

A erzeugt E_{k_A}(H) Þ
E_{k_B}(H) erzeugt von Z aus P_B=D_{k_B}(E_{k_B}(H))

Þ
B,

aber die verschlüsselten Passworthälften können nicht ohne die jeweilige andere Hälfte entschlüsselt werden.

A erzeugt E_{k_A}(P_A)|_links Þ Z erzeugt ?=D_{k_A}(E_{k_A}(P_A)|_links) und E_{k_B}(?) Þ B

A Ü Z erzeugt ?=D_{k_B}(E_{k_B}(P_B)|_links) und E_{k_A}(?) Ü E_{k_B}(P_B)|_links erzeugt von B

A erzeugt E_{k_A}(P_A)|_rechts Þ Z erzeugt ?=D_{k_A}(E_{k_A}(P_A)|_rechts) und E_{k_B}(?) Þ B

A Ü Z erzeugt ?=D_{k_B}(E_{k_B}(P_B)|_rechts) und E_{k_A}(?) Ü E_{_B}(P_B)|_rechts erzeugt von B

Kann garantiert werden, dass die Schlüssel k_A und k_B verschieden sind, so kann erst nach Erhalt der vollständigen verschlüsselten Passwörter an der Gegenstelle das jeweilige Passwort dechiffriert werden. Damit kann die Verbindung authentisiert werden. Allerdings kann ein Lauscher natürlich die Passwörter erlauschen, so dass diese nach einmaligem Gebrauch "verbrannt" sind.

Dieses lässt sich nur vermeiden, indem das Passwort "verschlüsselt" geschickt wird, beispielsweise durch eine Hashfunktion. Die berechnet aus dem Passwort und einem Einmal-Tag, z.B. aktueller Uhrzeit/Datum, einen Hashwert, und sendet statt des Passworts diesen Hashwert, zusammen mit dem Einmal-Tag, verschlüsselt mit dem neuen Schlüssel. Der Empfänger kennt das Passwort und kann die Hashberechnung nachvollziehen. Die Ergebnisse müssen übereinstimmen. Ein Angreifer findet nur den Hashwert und kann aus diesem und dem Einmal-Tag nicht das Passwort berechnet.