Kryptographie. Vorlesung 10: Kryptographische Hash-Funktionen. Babeş-Bolyai Universität, Department für Informatik, Cluj-Napoca

Größe: px

Ab Seite anzeigen:

Download "Kryptographie. Vorlesung 10: Kryptographische Hash-Funktionen. Babeş-Bolyai Universität, Department für Informatik, Cluj-Napoca"

Hetty Engel
vor 5 Jahren
Abrufe

1 Kryptographie Vorlesung 10: Kryptographische Hash-Funktionen Babeş-Bolyai Universität, Department für Informatik, Cluj-Napoca 1/55

2 HASH-FUNKTIONEN Hash-Funktionen werden für die Überprüfung der Datenintegrität benutzt. Einwegfunktionen. Ein Klartext beliebiger Länge wird zu einem String fester Länge gehasht. Digest value, message digest, fingerprint. 2/55

3 BEISPIEL 3/55

4 HASHING AT WORK 4/55

5 HMAC HMAC = Hash-based Message Authentication Code. Berechnet ein MAC unter Benutzung einer kryptographischen Hash-Funktion zusammen mit einem geheimen Schlüssel. Validiert die Integrität der Daten und deren Authentizität. MD5, SHA-1, usw. 5/55

6 HMAC BEISPIEL 6/55

7 HASH-FUNKTIONEN 7/55

8 MERKLE-DAMGARD Methode zur Konstruktion kollisionsresistenter Hash-Funktionen Benutzt Einweg-Kompressionsfunktionen 8/55

9 KOMPRESSIONSFUNKTIONEN Einfach zu berechnen Preimage resistance: Wir kennen hash(x) aber das Berechnen von x ist komputational teuer. Image resistance und colision resistance: Für alle x, es ist schwierig ein y zu finden, so dass h(x) = h(y) Es ist schwer ein Paar x, y) zu finden, so dass h(x) = h(y). 9/55

10 BEMERKUNGEN Die erste Bedingung ist leicht zu rechtfertigen. Weshalb? Die zweite Bedingung ist vom Geburtstags Paradoxon gerechtfertigt: für eine Funktion deren Output m Bits beträgt (also 2 m Möglichkeiten), können wir Kollisionen erzeugen unter Benutzung von nur 2 (m/2) Paare Text-Wert. 10/55

11 ALGORITHMIK Die meisten Kompressions/Hash-Funktionen basieren auf folgende Formel: h i = f (M i, h(i 1)). 11/55

12 KOMPRESSIONS/HASH-FUNKTIONEN, DIE AUF BLOCKCHIFFREN BASIEREN Notationen: E(K, M) die Blockchiffre, K ist der Schlüssel, M der Klartext IV ist der Initialisierungsblock t ist die Anzahl der Blöcke, in der der Klartext aufgeteilt worden ist. Diese Blöcke können, z.b. die Rolle von K oder die von M spielen. In den folgenden Beispiele, H 0 = IV und H(M) = H t. 12/55

13 HASH-FUNKTIONEN 13/55

14 KOMPRESSIONS/HASH-FUNKTIONEN, DIE NICHT AUF BLOCKCHIFFREN BASIEREN Von RSA Typ: H i = (H i 1 M i ) e mod N. Quadratisch: H i zieht m Bits aus ( H i M i ) 2 mod N. MD2, MD4 und MD5, entworfen von Ron Rivest, SHA entworfen von der NSA, RIPEMD entworfen von den Boer, sowie MDC2 entworfen von IBM. 14/55

15 DAVIS MEYER Der Schlüssel besteht aus den einzelnen Blöcken des Klartextes. Der alte Hashwert ist der Input der Chiffre. 15/55

16 MATYAS-MEYER-OSEAS Arbeitet komplementär zur vorigen Methode. Jeder einzelne Block wird chiffriert, als Schlüssel dient der Hashwert des vorherigen Blocks. 16/55

17 IMAGE ATTACKE AUF MATYAS-MEYES-OSEAS Es existiert eine Attacke auf einem Block der Länge 2 k in k 2 {n/2+1} + 2 {n k+1} Operationen. 17/55

18 MIYAGUCHI-PRENEEL Erweiterte Variante der vorherigen Funktion. Jeder Block wird chiffriert. Der Output Block wird mit dem Input Block mod 2 addiert (XOR) und dann erneut mit dem vorherigen Hash Wert, der als Schlüssel dient. 18/55

19 HIROSE Benutzt 2 Blöcke und eine Permutation p. Benutzt eine Chiffre mit einer Schlüssellänge k grö ser als die Blocklänge 19/55

20 MERKLE DAMGARD SCHEMA 20/55

21 MD5 1991, Ron Rivest, MIT Benutzt das Merkle Damgard Schema mit einer Kompressionsfunktion auf Bits. Arbeitet auf jeweils 128 Bits aufgeteilt auf 4 Wörter der Länge 32 Bits: A, B, C, D. Benutzt ein Block der Länge 512 Bits um diese Wörter zu verändern. 21/55

22 MD5 22/55

23 MD5 4 Runden, jede Runde besteht aus 16 Operationen, eine nichtlineare Funktion F, modulare Addition und eine Linksrotation. Jede Runde benutzt eine andere Funktion F. 23/55

24 MD5 24/55

25 BEISPIEL Well, here at last, dear friends, on the shores of the Sea comes the end of our fellowship in Middleearth. Go in peace! I will not say: do not weep; for not all tears are an evil. MD5 hash value in HEX: b956145d8f ade0 Binary: /55

26 MD5 ALS BEGRIFFSVERBAND Was bedeutet das? Was andert sich, falls wir die Hash-Funktion andern? Welche weitere Zusammenhänge existieren? Was andert sich, falls wir die Repräsentation des Strings als Tabelle andern? 26/55

27 MD5 ALS /55

28 MD5 ALS /55

29 WEITERE FRAGESTELLUNGEN Sind diese Diagramme irgendwie voneinander abhängig? Wenn ja, wie? Gibt es eine probabilistische Beschreibung für sie. Wenn ja, wleche? Wie stark beeinflusst eine andere Hash-Funktion diese Diagramme? 29/55

30 ATTACKE AUF MD5 THE STORY OF ALICE AND HER BOSS Alice has been an intern, working some weeks in Rome at the office of, say, Julius Caesar. 30/55

31 ATTACKE AUF MD5 CAESAR S VIEW At the day Alice is supposed to leave, Caesar writes a letter of recommendation for Alice and digitally signs it. Month later, he discovers that there has been a breach of secrecy with his Gaul affair files 31/55

32 32/55

33 33/55

34 34/55

35 Für mehr lucks/hashcollisions/ 35/55

36 HASH IT! 36/55

37 SHA-1 37/55

38 SHA-1: SECURE HASH ALGORITHM 1993: SHA : SHA-1 korrigiert einige Fehler in der Beschreibung von SHA-0 SHA-2, SHA-3,... Message digest: 160b, block size: 512b, max message size: b Rundenanzahl: 80 Beste offentlich bekannte Kryptanalyse: 2011 eine Attacke von Marc Stevens mit 2 61 Operationen um Kollisionen zu erzeugen. 38/55

39 VERGLEICH VERSCHIEDERER SHA VARIANTEN 39/55

40 SHA-1 Eine Runde besteht aus folgenden Operationen A, B, C, D und E sind 32 bit Wörter F ist eine nichtlineare Funktion <<< n bezeichnet eine Linksrotation auf n Stellen n ist eine Variable W t ist die expandierte Nachricht der Runde t K t ist eine Konstante der Runde t + ist die Addition modulo /55

41 SHA-1 41/55

42 PADDING Pad the message with a single one followed by zeroes until the final block has 448 bits. Append the size of the original message as an unsigned 64 bit integer. Initialize the 5 hash blocks (h 0, h 1, h 2, h 3, h 4 ) to the specific constants defined in the SHA1 Standard. 42/55

43 SHA-1 43/55

44 BEISPIEL 44/55

45 PSEUDOCODE Alle Variablen sind vorzeichenlose 32-Bit-Werte und verhalten sich bei Berechnungen kongruent modulo /55

46 INITIALISIERUNG DER VARIABLEN var int h0 := 0x var int h1 := 0xEFCDAB89 var int h2 := 0x98BADCFE var int h3 := 0x var int h4 := 0xC3D2E1F0 46/55

47 VORBEREITUNG DER NACHRICHT message var int message laenge := bit length(message) erweitere message um bit 1 erweitere message um bits 0 bis Länge von message in bits kongruent 448( mod 512) ist erweitere message um message laenge als 64-Bit big-endian Integer 47/55

48 VERARBEITE DIE NACHRICHT IN AUFEINANDER FOLGENDEN 512-BIT-BLÖCKEN für alle 512-Bit Block von message unterteile Block in bit big-endian Worte w(i), 0 i 15 48/55

49 ERWEITERE DIE BIT-WORTE AUF BIT-WORTE für alle i von 16 bis 79 w(i) := (w(i 3) xor w(i 8) xor w(i 14) xor w(i 16)) leftrotate 1 49/55

50 INITIALISIERE DEN HASH-WERT FÜR DIESEN BLOCK var int a := h0 var int b := h1 var int c := h2 var int d := h3 var int e := h4 50/55

51 HAUPTSCHLEIFE 51/55

52 HAUPTSCHLEIFE 52/55

53 ADDIERE DEN HASH-WERT DES BLOCKS ZUR SUMME DER VORHERIGEN HASHES h0 := h0 + a h1 := h1 + b h2 := h2 + c h3 := h3 + d h4 := h4 + e 53/55

54 DARSTELLUNG ALS BIG-ENDIAN digest = hash = h0 append h1 append h2 append h3 append h4 54/55

55 ANWENDUNGEN TSL: Transport Layer Security SSL: Secure Sockets Layer PGP: Pretty Good Privacy SSH: Secure Shell S/MIME IPSEC 55/55

Ähnliche Dokumente

Hashfunktionen und MACs

Hashfunktionen und MACs 3. Mai 2006 Message Authentication Code MAC: Message Authentication Code Was ist ein MAC? Der CBC-MAC Der XOR-MAC Kryptographische Hashfunktionen Iterierte Hashfunktionen Message Authentication Code Nachrichten