Modul 5: Mechanismen Schlüssel/asymmetrische Kryptographie

Größe: px

Ab Seite anzeigen:

Download "Modul 5: Mechanismen Schlüssel/asymmetrische Kryptographie"

Franz Goldschmidt
vor 5 Jahren
Abrufe

1 Betriebssysteme und Sicherheit Stefan Köpsell, Thorsten Strufe Modul 5: Mechanismen Schlüssel/asymmetrische Kryptographie Disclaimer: large parts from Mark Manulis, Dan Boneh, Stefan Katzenbeisser Dresden, WS 14/15

2 Schlüssel-Verteilung (Authentifikation) message : message Key Distribution : Sicherer direkter Kanal Privacy and Security Folie Nr. 4

3 Trusted 3 rd Parties/Key Distribution Centers Key Distribution: Paarweise Schlüssel mit TTP Aber was ist auszutauschen? message : message Privacy and Security Folie Nr. 5

4 KDC: a Very Simple Protocol K a K b {K} Kb, {K} Ka {K} Kb Simple Key Exchange: TTP knows / generates all keys Eve won t break encryption, but Mallory may actively interfere Privacy and Security Folie Nr. 6

Dolev/Yao Angreifer Volle Kontrolle über den Übertragungskanal: Nachrichten abfangen / mithören (passiv) Nachrichten verzögern Nachrichtenübermittlung unterdrücken Nachrichten erneut senden

5 Dolev/Yao Angreifer Volle Kontrolle über den Übertragungskanal: Nachrichten abfangen / mithören (passiv) Nachrichten verzögern Nachrichtenübermittlung unterdrücken Nachrichten erneut senden Nachrichten verändern Nachrichten durch andere Nachrichten ersetzen Vollkommen neue Nachrichten fälschen Aber: Mallory kann kryptographische Primitive nicht brechen! Privacy and Security Folie Nr. 7

6 Angriffe auf Schlüsseletablierung message Man-in-the-middle attack Replay attack Privacy and Security Folie Nr. 8

7 Schroeder-Needham Schlüsseltausch K a K b {N a,k,b,{k,a} Kb } Ka {K,A} Kb {N b } K {N b -1} K Impersonation/MitM durch verschlüsselte Adressierung verhindert (authentisiert Alice und Bob) Replay durch Nonce verhindert Falls alter Schlüssel gebrochen wurde kann Malory sich als Alice ausgeben, Angriff kann durch Zeitstempel verhindert werden Privacy and Security Folie Nr. 9

Puzzle ( brechen : P i und Schlüssel) (O(n)) Bob wählt zufällig P j aus 2 32 und berechnet Schlüssel (O(n))

8 Key Agreement Berechnung des Schlüssel (statt Tausch) Ziel: Ralph Merkle, Martin Hellmann, Whitfield Diffie Auszutauschende Information soll vollkommen öffentlich sein Primäre Idee (Merkle, 74): Alice generiert 2 32 Puzzle ( brechen : P i und Schlüssel) (O(n)) Bob wählt zufällig P j aus 2 32 und berechnet Schlüssel (O(n)) Bob schickt P j an Alice, Schlüssel etabliert. Welchen Aufwand hat Mallory? O(n²) Privacy and Security Folie Nr. 10

9 Can t we do better? Diffie-Hellmann Zyklische Gruppe G mit Generator g und ϕ(g)=p (prim) R R Alice wählt a {1,,(p-1)}, Bob wählt b {1,,(p-1)} g a g b Alice berechnet (g a ) b = g ab = Bob berechnet (g b ) a Computational Diffie Hellmann Problem (CDH): Given p,g, g a, g b Output g ab Privacy and Security Folie Nr. 11

10 Verschlüsseln! Ziel: Direkt asymmetrisch verschlüsseln (nicht nur Schlüssel etablieren) Ronald L. Rivest, Adi Shamir, Leonhard M. Adleman: A Method for Obtaining Digital Signatures and Public-Key Cryptosystems. Communications of the ACM, vol. 21, no. 2, 1978, Privacy and Security Folie Nr. 12

11 RSA Mathematische Grundlagen Bei freier Wahl großer Primzahlen p und q: Die Berechnung von n = p q leicht Faktorisierung von n zu p und q schwierig Für multiplikative zyklische Gruppe Z n * und e (teilerfremd zu n), gilt e -1 : ggt(e,n) = d e + k n = 1 k n 0 mod n e e -1 1 mod n => e -1 = d Bemerkung: Berechnung von d und k effizient mit erweitertem euklidischen Algorithmus Privacy and Security Folie Nr. 13

12 Größter Gemeinsamer Teiler (ggt/gcd) Definition: For x,y N: d = gcd(x,y) is called the greatest common divisor, if d x and d y and for all divisors s of x and y: s d Examples: gcd(5,3) = 1; gcd(12,18) = 6; gcd(13,26) = 13 If gcd(x,y) = 1 we call x and y coprime (relatively prime) For all x,y N there exist integers a,b such that: a x + b y = gcd(x,y) Privacy and Security Folie Nr. 14

13 (Extended) Euclidian Algorithm gcd(x,y) can efficiently be computed: def gcd(x,y): # 0 < x < y while (x > 0): g = x print y, x, y/x x = y % x y = g print g >>> gcd(5,72) Extending the algorithm, we can determine the factors a and b: 1 = 5 - ( 2 2 ) = 5 (( ) 2) = (- 2) 72 To calculate the multiplicative inverse: a -1 of a in Z n * : EEA(a,n) gcd(a,n) = u a + v n = 1; u = a -1 with aa -1 1 mod n Privacy and Security Folie Nr. 15

14 RSA - Schlüsselgenerierung Jeder Teilnehmer wählt zufällig und unabhängig 2 verschiedene Primzahlen p, q ungefähr gleicher Länge berechnet n = p q und ϕ (n) = n-p-q+1 = (p-1)(q-1) wählt zufällige Zahlen e,d mit 2 < e < ϕ (n), ggt(e, ϕ(n)) = 1 Und e d = 1 mod (ϕ (n)) (mit erweitertem euklidischen Algorithmus) Öffentlicher Schlüssel: (n, e) Geheimer Schlüssel: (p, q, d) Privacy and Security Folie Nr. 16

15 Ver- und Entschlüsselung Verschlüsselung: Gegeben (N,e): RSA (m) = m e mod N Entschlüsselung: Gegeben (p,q,d): RSA -1 (c) = c d mod N denn: c d = RSA(m) d = m ed = m k (N)+ 1 = (m (N) ) k m = m Bonus, Signieren einer Nachricht: Gegeben sk (p,q,d): tag = RSA -1 (pk, h(m)) = RSA(d,h(m)) Privacy and Security Folie Nr. 17

16 Beispiel RSA RSA als Verschlüsselungssystem (unsicher, kommen Sie zu SaC!) Teilnehmer A Schlüsselgenerierung öffentlich: n, e privat: p, q, d unsicherer Kanal n, e Teilnehmer B bekannt: n, e Entschlüsselung m = c d mod n c Verschlüsselung c = m e mod n (m < n) Privacy and Security Folie Nr. 18

17 Hybride Krypto-Systeme Hybrides Krypto-System geheimer Schlüssel (session key) k A,B öffentlicher Schlüssel k e,b privater Schlüssel k d,b enc c 1 dec k A,B = dec(k d,b, c 1 ) Nachricht m enc c 2 c 1, c 2 c 1 = enc(k e,b, k A,B ), c 2 = enc(k A,B, m) dec Nachricht m = dec(k A,B, c 2 ) Privacy and Security Folie Nr. 19

18 Vielen Dank für Ihre Aufmerksamkeit und eine schöne Adventszeit! Privacy and Security Folie Nr. 20

Ähnliche Dokumente

Betriebssysteme und Sicherheit

Betriebssysteme und Sicherheit Asymmetrische Kryptographie WS 2012/2012 Dr.-Ing. Elke Franz Elke.Franz@tu-dresden.de 1 Überblick 1 Prinzip asymmetrischer (Konzelations-)Systeme 2 Mathematische Grundlagen