ChallengeResponse Das Challenge Response System ist ein Authentifizierungsverfahren für
User auf Basis gegenseitigem Wissens. Dabei stellt ein User seinem möglichen
Kommunikationspartner eine Aufgabe (Challenge), welche dieser lösen (Response)
muss. Damit stellt der Aufgaben stellende User sicher, dass nur der bekannte
User die Lösung zurückgeben kann und somit sein gewünschter Kommunikationspartner
der ist, mit dem er kommunizieren möchte.
Der Zweck bzw. Nutzen dieses Systems liegt darin:
Ein Kommunikationspartner A  kann sich zu einem bestimmten Zeitpunkt gegenüber
seinem Kommunikationspartner B identifizieren bzw. authentifizieren.
Diese Identifikation bzw. Authentifikation erfolgt durch:
1. Schlüsselaustausch (Wissen des gemeinsamen Schlüssels)
2. Smart-Card (Authentifizierungsdaten darauf abgespeichert)
3. individuelle Eigenschaften (z. B. Biometrie – Fingerabdruck)
Anforderungen an den Identifikationsmechanismus
1. User A muss sich bei User B authentifizieren können, auf Basis
einer vertrauenswürdigen Kommunikation.
2. Eine Übertragbarkeit der Authentifizierung darf nicht erfolgen, d. h.
dass User B nach erfolgreicher Authentifizierung von User A dessen Authentifizierungsdaten
missbrauchen darf (Bsp. User B würde sich mit Daten von User A bei User
C authentifizieren).
3. Die Wahrscheinlichkeit der Userfälschung (User gibt sich für anderen
User aus) muss vernachlässigbar sein.
Genereller Aufbau/Ablauf
User A möchte sich User B gegenüber identifizieren
1. User B sendet User A eine Aufgabe (Challenge)
2. User A liefert eine Antwort (Response)
• Antwort nur von User A möglich
3. User B akzeptiert Antwort (wenn erwartete Lösung eintritt)
Zeitabhängige Parameter
|
Methode/Technik |
Eigenschaften |
Anforderungen |
| Sequenznummer |
- eindeutig, da einzigartig
- kein Bezug auf die Zeit
- ist vorhersehbar
|
- keine zusammen-
hängenden Berechnungen
- Kommunikationspartner
müssen gemeinsame
Nummerierung benutzen |
| Zeitstempel |
- eindeutig, da einzigartig
- Bezug zur Zeit
- ist vorhersehbar
|
- Kommunikation muss auf
synchroner Zeit basieren |
| Zufallszahl |
- eindeutig, da einzigartig
- Bezug zur Zeit
- ist vorhersehbar
|
- hierbei wird Berechnungs-
aufwand benötigt
- Kommunikation läuft
mittels mehrerer Schritte |
Identifizierung
Die Identifikation zwischen den Usern kann mittels symmetrischer und asymmetrischer
Verschlüsselung erfolgen.
Mittels symmetrischer Verschlüsselung:
Voraussetzung - User A und User B kennen gemeinsamen Schlüssel
Variante A – einseitige Identifikation mit Zeitstempel
• User A sendet einen Zeitstempel an User B, welcher die Identität
von User B enthält
und mit dem gemeinsamen Schlüssel kodiert wurde.
• User B akzeptiert den Zeitstempel, wenn dieser zeitnah ist und die Identität
von User
B enthält.
Variante B – einseitige Identifikation mit Zufallszahl
• User A sendet User B eine Zufallszahl.
• User B codiert die Zufallszahl und die Identität von User A mit
dem gemeinsamen
Schlüssel.
• User A akzeptiert die Identifikation falls User B korrekt verschlüsselt
hat und die
Identität mit User A übereinstimmt.
Variante C – gegenseitige Identifikation mit Zufallszahlen
• User A sendet Zufallszahl an User B
• User B sendet eigene Zufallszahl an User A
Die Zufallszahl von User A mit der Identität von User A wird an User B
übermittelt.
• User A akzeptiert die Identifikation falls User B korrekt verschlüsselt
hat und die
Identität mit User A übereinstimmt.
• User A codiert die von User B zugesandte Zufallszahl und die Identität
von User
B.
• User B akzeptiert die Identifikation falls User A korrekt verschlüsselt
hat und die
Identität mit User B übereinstimmt.
Mittels asymmetrischer Verschlüsselung:
Voraussetzung - User A und User B besitzen jeweils ein Schlüsselpaar
mit einem
geheimen (privaten) und einem öffentlichen Schlüssel. Die Identität
wird dabei durch den Nachweis der Kenntnis des privaten Schlüssels bewiesen.
Variante A – einseitige Identifikation mit Zufallszahl
• User A wählt eine Zufallszahl.
User A berechnet einen Hashwert der Zufallszahl und Challenge.
• User A übermittelt die ermittelten Werte an User B.
• User B berechnet mit seinen eigenen Schlüsseln einen Hashwert.
Der ermittelte Hashwert und die bekannte Identität von User A werden mit
dem von
User A übermittelten Werten verglichen. User B fährt mit der Identifizierung
nur dann fort, wenn die eigens berechneten Werte
mit den von User A übermittelten Werten übereinstimmen. Bei erfolgreicher
Übereinstimmung übermittelt User B einen Wert an User A.
• User A akzeptiert die Identifizierung von User B, wenn der von User
B übermittelte
Wert dem eigenen Wert entspricht.
Variante B – gegenseitige Identifikation mit Zufallszahlen
• User A wählt eine Zufallszahl.
User A berechnet einen Hashwert der Zufallszahl und Challenge.
• User A übermittelt die ermittelten Werte an User B.
• User B berechnet mit seinen eigenen Schlüsseln einen Hashwert.
Der ermittelte Hashwert und die bekannte Identität von User A werden mit
dem von
User A übermittelten Werten verglichen. Bei Übereinstimmung der Werte
akzeptiert User B die Identität von User A und
sendet einen Wert an User A.
• User A akzeptiert die Identifizierung von User B, wenn der von User
B übermittelte
Wert dem eigenen Wert entspricht.
[ Zurück zum Anfang ] | 
