Abbildung 1: Man in the Middle-Agriff. Malloy faelscht Signaturen
waehrend der Datenuebertragung.
Bei der signaturbasierten Erkennung von Angriffen ist die Qualität der Erkennung von den verwendeten Signaturen abhängig. Dies bedeutet, dass ein Agent nach dem Empfang von neuen Signatursätzen in der Lage sein muss, sicherzustellen, dass die von ihm empfangenen Daten während des Transfers nicht verändert wurden. Ein Angreifer (Malloy) könnte z.B. während der Datenübertragung die von Alice an Bob gesendeten Signaturen so verändern, dass diese keine Daten zu einem bestimmten Angriff enthalten. Diesen Angriff könnte Malloy anschließend bei Bob anwenden, ohne die Gefahr zu laufen, dass Bob diesen Angriff erkennt. Die gefälschten Signaturen könnten außerdem eine Sicherheitslücke in Bobs Antivirensoftware ausnutzen und zu einer Fehlfunktion führen. Einem solchen "Man in the Middle"-Angriff können Agenten mit Hilfe eines Integrity-Checks widerstehen.
Abbildung 1: Man in the Middle-Agriff. Malloy faelscht Signaturen
waehrend der Datenuebertragung.
Alice berechnet vor dem Übersenden von Daten an Bob eine Checksumme ihrer Daten und veröffentlicht diese auf einem vertrauenswürdigen System oder übermittelt diese über einen sicheren Kanal an Bob. Nach dem Datenempfang berechnet Bob die Checksumme der von ihm empfangenen Daten und vergleicht sie mit dem von Alice veröffentlichten Wert2w. Sind beide Checksummen nicht identisch, wurden die Daten während der Datenübermittlung verändert.
Eine Checksumme wird in aller Regel nach der CRC-Methode berechnet. Auch die kleinste Veränderung der übermittelten Daten bedingt eine völlig neue Prüfsumme. Unsere Agenten verwenden zur Berechnung der Prüfsumme MD5. Da das von uns zur Berechnung der Prüfsumme verwendete Verfahren nicht geheim und somit dem potenziellen Angreifer bekannt ist, könnte dieser für seine gefälschten Daten eine neue Prüfsumme berechnen und diese dem Bob übermitteln. Ein solcher Angriff kann z.B. mit Hilfe von digitalen Signaturen vereitelt werden, denn diese beinhalten außer einer Prüfsumme noch zusätzliche Informationen, welche uns die Identität der signierenden Person offenbaren.![[*]](images/footnote.png)
.