(Variante I) um einen Protokolleintrag PEk mit dem Zeitstempel TSTCk einer vertrauenswürdigen Instanz TCk erweitert. TSTCk(...) soll nicht nur die reine Signatur repräsentieren, sondern auch alle nötigen Komponenten eines Time-Stamps.
PE1,PE2, ... ,PEk-1,PEk
Wk = (H(PEk-1),k,tk,Fk,TCk)
PEk = (Wk,TSTCk(PE1,PE2, ... ,PEk-1),SigFk(Wk,TSTCk(PE1,PE2, ... ,PEk-1)))
In dieser Variante muß jeder Submitter alle Protokolleinträge PE1 bis PEk aufbewahren, um die Signatur von TCk belegen zu können. Nimmt man diese Protokolleinträge in den Protokolleintrag PEk mit auf, genügt die Aufbewahrung von PEk, und auch die Protokolldatei kann mit diesem Eintrag beginnen. Dadurch bliebe auch die bisherige Struktur der Protokolleinträge in PEk gewahrt, der Aufwand für die Submitter wird nicht geringer:
Wk = (H(PEk-1),k,tk,Fk,TCk,PE1,PE2, ... ,PEk-1,PEk)
PEk = (Wk,TSTCk(PE1,PE2, ... ,PEk-1),SigFk(Wk,TSTCk(PE1,PE2, ... ,PEk-1)))
(Variante II) um je einen Protokolleintrag PEk bis PEk-1 mit einem Zeitstempel einer vertrauenswürdigen Instanz für jeden existierenden Protokolleintrag erweitert:
PE1,PE2, ... ,PEk-1,PEk,PEk+1,PEk+2, ... ,PEk-1
Wx = (H(PEx-1),x,tx,Fx,TCx)
PEx = (Wx,PEx-k,TSTCx(PEx-k),SigFx(Wx,PEx-k,TCx,TSTCx(PEx-k)))
für alle x von k bis 2(k-1).
Jeder Submitter muß zusätzlich zu seinen bisher aufbewahrten
Protokolleinträgen nur seine eigenen, neu signierten Protokolleinträge
und die jeweils benachbarten aufbewahren.
Die Anzahl der Protokolleinträge verdoppelt sich schlagartig mit
jeder durchgeführten Versiegelung.
(Variante III) um einen Zeitstempel erweitert, der durch alle Beteiligten
signiert wird. Alternativ zum Hinzuziehen einer vertrauenswürdigen
Instanz wäre es in einem Off-line-Protokoll auch möglich, daß
jeder Beteiligte (Submitter, Protokollführer) das bisherige Protokoll
signiert. Diese Variante bietet sich dann an, wenn eine Zusammenarbeit
aller auch ohne Verlust der Sicherheit einer der verwendeten Funktionen
eine Fälschung des Protokolls zuließe.
Was jedoch geschieht nun, wenn gerade die Signatur dieser zusätzlichen
Zeitstempel in absehbarer Zeit unsicher wird? Nach der Signatur durch eine
vertrauenswürdige Instanz hat das Protokoll folgenden Aufbau (nach
Variante I):
PEk,PEk+1,PEk+2, ... ,PEk+n
Wk = (H(PEk-1),k,tk,Fk,TCk,PE1,PE2, ... ,PEk-1)
PEk = (Wk,TSTCk(PE1,PE2, ... ,PEk-1),SigFk(Wk,TSTCk(PE1,PE2, ... ,PEk-1)))
| SigFk | ||||||||||||
| H | k | tk | Fk | TCk | SigTCk | |||||||
| PEk-1 | PE1 | PE2 | ... | PEk-1 | ||||||||
Wiederum ist es für das Verständnis einfacher, zunächst
den Fall zu betrachten, der eintritt, wenn SigTCk bereits gebrochen wurde.
Dann kann jeder diese Schwäche zur Änderung eines beliebigen
PEx (für alle x = 1 bis k-1) ausnutzen. Diese Änderung kann bemerkt
werden (durch die jeweiligen Kopien von PEx). Es ist nicht aufklärbar,
wer manipuliert hat, denn auch die im Protokolleintrag enthaltenen Signaturen
sind schwach - dies ist schließlich der Grund für das Vorhandensein
von PEk.
Da auch diese Manipulation eine Änderung des Protokolls hervorrufen
muß, genügt es wieder, rechtzeitig eine neue Versiegelung des
Protokolls, wie beschrieben, vorzunehmen. Später muß bewiesen
werden, daß der Protokolleintrag PEk bereits zu einem Zeitpunkt existierte,
zu dem die darin verwendeten Signaturfunktionen noch sicher waren. Dann
kann damit wiederum bewiesen werden, daß die mit dieser Versiegelung
versehenen alten Protokolleinträge tatsächlich zum Zeitpunkt
der Signaturerzeugung vorhanden waren.
| weiter | Inhaltsverzeichnis |