FB18 - Das Forum für Informatik

fb18.de / Bachelorstudieng / PM Technische Informatik

Digitale Hash Signatur: Integrität ohne verifizierte Authentizität prüfen?

Digitale Hash Signatur: Integrität ohne verifizierte Authentizität prüfen? 2008-07-14 10:13
Anonymer User
Digitale Hash Signatur (sign(h(m))) eines Dokuments:
Kann man die Integrität überprüfen, ohne dabei die Authentizität des Senders zu verifizieren?

Stehe hier gerade auf dem Schlauch, kann mir jemand helfen?
Die Antwort scheint etwas länger zu sein, da in der alten Klausur dafür fast 1 Seite Platz zum schreiben war…Thanx

RE: Digitale Hash Signatur: Integrität ohne verifizierte Authentizität prüfen? 2008-07-16 20:12
TieKei
wenn man drüber nachdenkt nicht, denn alles was nicht dein Sender ist könnte der Manipulator sein, und du kannst den Hash ja nur vergleichen - d.h. du musst ihn mit dem Sender vergleichen um die Integrität zu verifizieren, dafür musst du dann aber Wissen ob es wirklich (Authentizität) der Sender ist mit dem zu gerade vergleichst.

Ein anderer Weg fällt mir zumindest nicht ein

RE: Digitale Hash Signatur: Integrität ohne verifizierte Authentizität prüfen? 2008-07-16 20:30
Southwood
Und was ist, wenn ich Dir eine Nachricht schicke + digital signiertem Hashwert. Du könntest sie im ersten Schritt verifizieren. Weißt Du jetzt schon, dass ich Dir die Nachricht geschickt habe? Weißt Du, ob die Nachricht unverändert, korrekt und aktuell ist?

RE: Digitale Hash Signatur: Integrität ohne verifizierte Authentizität prüfen? 2008-07-16 21:01
TieKei
nein, ich kann mir solang nicht sicher sein, dass du das warst bis ich deinen Hashwert über einen sicheren Kanal bekommen habe (zum Beispiel analog weil wir uns begegnen, oder über deinen Webspace) - selbstverständlich ist auch das alles nicht 100% sicher, aber eventuell hinreichend.
Das was auf Keysigning Partys so getrieben wird ist ja auch nichts anderes als das hinreichende Vertrauen in die Fälschungssicherheit deines Personalausweises.

Du merkst man KANN da viel zu schreiben ;)

RE: Digitale Hash Signatur: Integrität ohne verifizierte Authentizität prüfen? 2008-07-16 22:12
Southwood
So wie die Frage gestellt ist, ist das noch einfach zu beantworten.

Integrität beweisst Du dadurch, dass die Verifikation des signierten Hashes mit meinem Public Key true ist.
Um zu überprüfen, ob die Nachricht auch authentisch ist, schaust Du im Zertifikat nach, ob der Public Key zur vorgegebenen/erwarteten Identität des Senders gehört. Fertig. achja, noch checken, ob das Zertifikat gültig ist.

Allgemein gefragt, ob man Integrität verifizieren kann, ohne Authentizität zu überprüfen könnte man umfangreicher diskutieren. Anfangen könnte man mit Daten auf der Festplatte … denn es müssen ja nicht immer gesendete Daten sein, deren Integrität man überprüfen will.

RE: Digitale Hash Signatur: Integrität ohne verifizierte Authentizität prüfen? 2008-07-16 22:30
TieKei
ah coole zusammenfassung danke!