THEMEN

ChallengeResponse


Das Challenge Response System ist ein Authentifizierungsverfahren für User auf Basis gegenseitigem Wissens. Dabei stellt ein User seinem möglichen Kommunikationspartner eine Aufgabe (Challenge), welche dieser lösen (Response) muss. Damit stellt der Aufgaben stellende User sicher, dass nur der bekannte User die Lösung zurückgeben kann und somit sein gewünschter Kommunikationspartner der ist, mit dem er kommunizieren möchte.

Der Zweck bzw. Nutzen dieses Systems liegt darin:
Ein Kommunikationspartner A kann sich zu einem bestimmten Zeitpunkt gegenüber seinem Kommunikationspartner B identifizieren bzw. authentifizieren.

Diese Identifikation bzw. Authentifikation erfolgt durch:
1. Schlüsselaustausch (Wissen des gemeinsamen Schlüssels)
2. Smart-Card (Authentifizierungsdaten darauf abgespeichert)
3. individuelle Eigenschaften (z. B. Biometrie Biometrie im Techniklexikon – Fingerabdruck)

Anforderungen an den Identifikationsmechanismus
1. User A muss sich bei User B authentifizieren können, auf Basis einer vertrauenswürdigen Kommunikation.

2. Eine Übertragbarkeit der Authentifizierung Authentifizierung im Techniklexikon darf nicht erfolgen, d. h. dass User B nach erfolgreicher Authentifizierung von User A dessen Authentifizierungsdaten missbrauchen darf (Bsp. User B würde sich mit Daten von User A bei User C authentifizieren).

3. Die Wahrscheinlichkeit der Userfälschung (User gibt sich für anderen User aus) muss vernachlässigbar sein.

Genereller Aufbau/Ablauf

User A möchte sich User B gegenüber identifizieren
1. User B sendet User A eine Aufgabe (Challenge)
2. User A liefert eine Antwort (Response)
 • Antwort nur von User A möglich
3. User B akzeptiert Antwort (wenn erwartete Lösung eintritt)

Zeitabhängige Parameter
Methode/Technik
Eigenschaften
Anforderungen
Sequenznummer - eindeutig, da einzigartig
- kein Bezug auf die Zeit
- ist vorhersehbar
- keine zusammen-
hängenden Berechnungen
- Kommunikationspartner
müssen gemeinsame
Nummerierung benutzen
Zeitstempel - eindeutig, da einzigartig
- Bezug zur Zeit
- ist vorhersehbar
- Kommunikation muss auf
synchroner Zeit basieren
Zufallszahl - eindeutig, da einzigartig
- Bezug zur Zeit
- ist vorhersehbar
- hierbei wird Berechnungs-
aufwand benötigt
- Kommunikation läuft
mittels mehrerer Schritte

Identifizierung
Die Identifikation zwischen den Usern kann mittels symmetrischer und asymmetrischer Verschlüsselung erfolgen.

Mittels symmetrischer Verschlüsselung:
Voraussetzung - User A und User B kennen gemeinsamen Schlüssel
Variante A – einseitige Identifikation mit Zeitstempel
• User A sendet einen Zeitstempel Zeitstempel im Techniklexikon an User B, welcher die Identität von User B enthält
und mit dem gemeinsamen Schlüssel kodiert wurde.
• User B akzeptiert den Zeitstempel, wenn dieser zeitnah ist und die Identität von User
B enthält.

Variante B – einseitige Identifikation mit Zufallszahl
• User A sendet User B eine Zufallszahl.
• User B codiert die Zufallszahl und die Identität von User A mit dem gemeinsamen
Schlüssel.
• User A akzeptiert die Identifikation falls User B korrekt verschlüsselt hat und die
Identität mit User A übereinstimmt.

Variante C – gegenseitige Identifikation mit Zufallszahlen
• User A sendet Zufallszahl an User B
• User B sendet eigene Zufallszahl an User A
Die Zufallszahl von User A mit der Identität von User A wird an User B übermittelt.
• User A akzeptiert die Identifikation falls User B korrekt verschlüsselt hat und die
Identität mit User A übereinstimmt.
• User A codiert die von User B zugesandte Zufallszahl und die Identität von User
B.
• User B akzeptiert die Identifikation falls User A korrekt verschlüsselt hat und die
Identität mit User B übereinstimmt.

Mittels asymmetrischer Verschlüsselung:
Voraussetzung - User A und User B besitzen jeweils ein Schlüsselpaar mit einem
geheimen (privaten) und einem öffentlichen Schlüssel. Die Identität wird dabei durch den Nachweis der Kenntnis des privaten Schlüssels bewiesen.

Variante A – einseitige Identifikation mit Zufallszahl
• User A wählt eine Zufallszahl.
User A berechnet einen Hashwert der Zufallszahl und Challenge.
• User A übermittelt die ermittelten Werte an User B.
• User B berechnet mit seinen eigenen Schlüsseln einen Hashwert.
Der ermittelte Hashwert und die bekannte Identität von User A werden mit dem von
User A übermittelten Werten verglichen. User B fährt mit der Identifizierung nur dann fort, wenn die eigens berechneten Werte
mit den von User A übermittelten Werten übereinstimmen. Bei erfolgreicher
Übereinstimmung übermittelt User B einen Wert an User A.
• User A akzeptiert die Identifizierung von User B, wenn der von User B übermittelte
Wert dem eigenen Wert entspricht.


Variante B – gegenseitige Identifikation mit Zufallszahlen
• User A wählt eine Zufallszahl.
User A berechnet einen Hashwert der Zufallszahl und Challenge.
• User A übermittelt die ermittelten Werte an User B.
• User B berechnet mit seinen eigenen Schlüsseln einen Hashwert.
Der ermittelte Hashwert und die bekannte Identität von User A werden mit dem von
User A übermittelten Werten verglichen. Bei Übereinstimmung der Werte akzeptiert User B die Identität von User A und
sendet einen Wert an User A.
• User A akzeptiert die Identifizierung von User B, wenn der von User B übermittelte
Wert dem eigenen Wert entspricht.

  

[ Zurück zum Anfang ]

 >> zurück zur Startseite
antispam_logo
  Antispam Tutorials