Kryptographie. Kriterien zur Einteilung von Kryptosystemen. Anwendungsfall: Konzelation Authentikation Hashfunktionen Pseudozufallszahlengeneratoren

Transkript

1 Kryptographie Kriterien zur Einteilung von Kryptosystemen Anwendungsfall: Konzelation Authentikation Hashfunktionen Pseudozufallszahlengeneratoren Schlüsselbeziehung Sender Empfänger Symmetrische Systeme Asymmetrische Systeme Alphabet, auf dem die Chiffre operiert Blockchiffre: Operiert auf Blöcken von Zeichen Stromchiffren: Operiert auf einzelnen Zeichen Längentreue Sicherheit (informations) theoretisch sicher kryptographisch stark (beweisbar) gegen aktive Angriffe gegen passive Angriffe wohluntersucht Mathematik Chaos geheimgehaltene

2 Angriffsarten und Sicherheitskriterien Was kennt der Angreifer, was kann er wählen oder verändern? ciphertext-only attack known [adaptively] chosen } { plaintext ciphertext } attack adaptively: Der Angreifer kann in Abhängigkeit vorheriger gewählter Nachrichten neue Nachrichten wählen not adaptively: Der Angreifer muß alle Nachrichten zu Beginn wählen, kann also nicht abhängig vom Verschlüsselungsergebnis, weitere Nachrichten wählen. Was wird durch den Angriff erreicht? (Brechen = Fälschen Entschlüsseln) Vollständiges Brechen: Finden des Schlüssels Universelles Brechen: Finden eines zum Schlüssel äquivalenten Verfahrens Nachrichtenbezogenes Brechen: Brechen für einzelne Nachrichten, ohne den Schlüssel selbst in Erfahrung zu bringen. selektives Brechen: für eine vom Angreifer bestimmte Nachricht (z.b. einen abgefangenen Schlüsseltext) existenzielles Brechen: für irgendeine Nachricht Aufwand/Kosten: Einmalige Kosten, jeder Schlüssel effizient knackbar Jeder Angriff verursacht Kosten beim Angreifer

3 Kryptographie Systematisierung und Beispiele symmetrische Konzelationssysteme DES, Triple DES, IDEA, (Pseudo)-One-time-pad Authentikationssysteme Symmetrische Authentikationscodes asymmetrische RSA, McEliece, ElGamal RSA, GMR, DSS, ElGamal Sicherheit Sicherheit Systemtyp Konzelation Authentikation sym. asym. sym. asym. sym. Konzelationssystem asym. Konzelationssystem sym. Authentikationssystem digitales Signatursystem informationstheoretisch kryptographisch stark gegen aktiver Angriff passiver Angriff Chaos Vernam-Chiffre (one-time pad) wohluntersucht Mathematik Pseudo-onetime-pad mit s 2 -mod-n- Generator DES? System mit s 2 -mod-n- Generator RSA Authentikationscodes DES GMR RSA? kann es nicht geben zur Zeit nicht bekannt wird von bekanntem System majorisiert

4 Symmetrische Kryptographie Symmetrisches Konzelationssystem Zufallszahl k Schlüsselgenerierung geheimer Schlüssel k Klartext x Schlüsseltext k(x) Verschlüsselung Entschlüsselung Klartext x Symmetrisches Authentikationssystem Zufallszahl k geheimer Schlüssel Schlüsselgenerierung k Klartext x Codieren Schlüsseltext x, k(x) MAC message authentication code Test: MAC = k(x) Klartext und Testergebnis x, k(x) ok oder falsch

5 Asymmetrische Kryptographie Asymmetrisches Konzelationssystem Zufallszahl c Chiffrierschlüssel, öffentlich bekannt d Dechiffrierschlüssel, geheimgehalten Klartext x Schlüsseltext c(x) Verschlüsselung Entschlüsselung Klartext x Digitales Signatursystem Zufallszahl Text mit Signatur und Testergebnis x, Sig(x), Testen ok oder falsch t Schlüssel zum Testen der Signatur, öffentlich bekannt Text mit Signatur x, Sig(x) Schlüsselgenerierung Schlüsselgenerierung s Signieren Schlüssel zum Signieren, geheimgehalten Text x

6 Schlüsselverteilung bei symmetrischem Kryptosystem Schlüsselverteilzentrale für X verschlüsselter geheimer Schlüssel k k für Y verschlüsselter geheimer Schlüssel Schlüsseltext Teilnehmerin X Teilnehmer Y Dezentralisierung ist möglich Schlüsselverteilzentralen A B C k AX (k 1 ) k BX (k 2 ) k CX (k 3 ) k AY (k 1 ) k BY (k 2 ) k CY (k 3 ) Schlüssel k = k 1 + k 2 + k 3 Teilnehmerin X k(nachrichten) Teilnehmer Y

7 Schlüsselverteilung bei asymmetrischem Kryptosystem Asymmetrische Konzelation Öffentliches Schlüsselregister R A läßt öffentlichen Chiffrierschlüssel c A (ggf. anonym) eintragen 2. B bittet R um c A 3. B erhält c A, beglaubigt durch Signatur von R Teilnehmerin A 4. c A (Nachricht an A) Teilnehmer B Signatursystem Öffentliches Schlüsselregister R A läßt öffentlichen Testschlüssel t A (ggf. anonym) eintragen 2. B bittet R um t A 3. B erhält t A, beglaubigt durch Signatur von R Teilnehmerin A 4. Nachricht von A, s A (Nachricht von A) Teilnehmer B

8 Schlüsselgenerierung Erzeugung einer Zufallszahl z für die Schlüsselgenerierung: z 1 gfjjbz z 2 z 3 z n z gen XOR aus z 1, einer im Gerät erzeugten, z 2, z 3, einer vom Hersteller gelieferten, einer vom Benutzer gelieferten,, z n, einer aus Zeitabständen errechneten Zufallszahl

9 Hybride Kryptosysteme Kombiniere: von asymmetrischen: einfache Schlüsselverteilung von symmetrischen: Effizienz (Faktor , Software und Hardware) asymmetrisches System nur zum Schlüsselaustausch Konzelation A besorge c B wähle k N c B (k), k(n) B Entschlüssle k mit d B Entschlüssle N mit k Noch effizienter: Teil von N in 1. Block auffüllen: c B (k, N'), k(n'') mit N=N'+N'' Wenn auch B k benutzen soll: s A (k) dazulegen Authentikation (k geheim und authentisiert) A besorge c B wähle k N N, k(n), c B (k, s A (k)) B Besorge t A Entschlüssle k, s A (k) mit d B Teste k mit t A Teste N mit k Nachrichtenintegrität ohne Verbindlichkeit/Zurechenbarkeit

10 Umsetzung von Sicherheitsfunktionen in Gateways Motivation A und B haben nicht kompatible (Sicherheits)-Systeme; Sicht des Empfängers: kein Test von Signatur/MAC möglich, keine Entschlüsselung möglich Performance bei B nicht, um selbst zu prüfen / entschlüsseln > Verwendung eines Proxys zur Umsetzung Digitale Signatur GW testet Signatur stellvertretend für B; B vertraut GW; m wird GW nicht notwendigerweise bekannt GW testet Signatur siga(m) ok / n.ok A m, siga(m) B Vertraulichkeit nur unbefriedigend möglich, da geheime Information zum Entschlüsseln nötig, jedoch: Verteilung erhöht wieder Vertraulichkeit ka1(m1) GW1 kb1(m1) A ka3(m3) ka2(m2) GW2 GW3 kb2(m2) kb3(m3) B m = m1 + m2 + m3

11 Konkrete Systeme Symmetrische Systeme One-Time-Pad (Vernam-Chiffre) Symmetrische Authentikationscodes DES (Data Encryption Standard) IDEA (International Data Encryption Algorithm) AES (Advanced Encryption Standard) Praktischer Einsatz Betriebsarten von Blockchiffren Asymmetrische Systeme Diffie-Hellmann-Key-Exchange El Gamal Kryptosystem RSA zur Konzelation und Signatur Blinde Signaturen mit RSA Kryptosysteme auf Basis elliptischer Kurven

12 One-Time-Pad (mod 2) X K = S Bits von K sind zufällig und unabhängig Jedes Schlüsselbit darf nur einmal verwendet werden Schlüssel genauso lang wie Klartext Angreifer sieht S: K kann sein: dann ist X gewesen: Der Angreifer kann alle 4 Varianten durchrechnen, erhält dadurch aber keine zusätzliche Information über den Klartext. Die Wahrscheinlichkeit, ein Kartextbit richtig zu raten, verändert sich durch die Beobachtung des Schlüsseltextes nicht, sondern bleibt const = 0,5.

13 One-Time-Pad (mod 2) Zufallszahlen K K X S Sender Angriffsbereich Empfänger»Hinter jedem Schlüsseltext kann sich jeder Klartext verbergen«informationstheoretisch sichere Konzelation: Egal, was der Angreifer a priori an Information über den Klartext hat, er gewinnt durch die Beobachtung des Schlüsseltextes keine Information hinzu. s S const IN x X : { k K k(x)=s } = const (1) Für alle Schlüsseltexte s existiert eine konstante Anzahl von Schlüsseln k, die jeweils alle Klartexte x derart verschlüsseln, daß aus x jeder Schlüsseltext entstehen kann. IN = {1, 2, 3, }

14 Symmetrische Authentikationscodes k x, MAC H,0 H,1 T,0 T, H H H H T T T T oder x k H T MAC H :="0" T :="1" Zufallszahlen 00; 01 K K X H; T H,0; T,1 Angriff 1: Angreifer will T senden (blind) erwischt richtigen MAC mit Wkt = 0,5 Angriff 2: Angreifer will H,0 in T ändern (sehend) weiß: k {00,01} wenn k = 00 war, muß er T,0 senden wenn k = 01 war, muß er T,1 senden Wkt. ist immernoch 0,5

15 Symmetrische Authentikationscodes k x, MAC H,0 H,1 T,0 T, H H H H T T T T oder x k H T MAC H :="0" T :="1" Angreifer sieht: H,0 H,1 K kann sein: Angreifer will x fälschen und such passenden MAC T,0 T,1 Wkt., daß Angreifer den richtigen MAC führ das Bit wählt, ist 0,5 (d.h. Raten ) T, H,0 T, H,1 informationstheoretisch sicher

16 DES (Data Encryption Standard) 1977 vom National Bureau of Standards (NBS) der USA standardisiert Blockchiffre: operiert auf Blöcken von jeweils 64 Bit Feistel-Chiffre: interierte Anwendung eines Verschlüsselungsschemas aus Permutationen, Substitutionen und Expansionen n Runden Schema ist selbstinvers Funktion F kann Einwegfunktion sein Gütekriterien: Höchstmaß an Vollständigkeit Avalanche Nichtlinearität Korrelationsimmunität L L L M R 0 0 F R 1 1 R n-1 n-1 F K 1 K n weitere Kriterien L n R n gute Implementierbarkeit Längentreue C Schnelligkeit

17 Feistel-Prinzip Verschlüsselung L R 0 0 F K 1 L 1 = R 0 (1) R 1 = f(r 0 ) L 0 (2) L L' R 1 1 Entschlüsselung R' 1 1 L' 1 = R 1 (3) R' 1 = L 1 (4) F K 1 L' 0 = R' 1 (5) R' 0 = f(r' 1 ) L' 1 (6) L' R' 0 0 Nachweis, daß Feistel-Chiffren selbstinvers sind L' 0 = R' 1 = L 1 = R o mit (5), (4), (1) R' 0 = f(r' 1 ) L' 1 R' 0 = f(r' 1 ) R 1 R' 0 = f(r' 1 ) f(r 0 ) L 0 R' 0 = f(l 1 ) f(r 0 ) L 0 R' 0 = f(r 0 ) f(r 0 ) L 0 R' 0 = L 0 mit (3) folgt mit (2) folgt mit (4) folgt mit (1) folgt mit (1) folgt

18 DES (Data Encryption Standard) Feistel-Chiffre Blockbreite 64 Bit n = 16 Runden Teilschlüssel K 1 16 (jeweils 48 Bit) werden aus einem 56-Bit Schlüssel gewonnen Vor der ersten und nach der letzen Runde durchläuft der Datenblock eine Permutation IP bzw. IP-1, die kryptographisch irrelevant ist. Funktion F(K i, R i-1 ) Expansionsabbildung von 32 auf 48 Bit 8 S-Boxen, jede S-Box: 6-Bit-Input, 4-Bit-Output 32-Bit-Permutation Teilschlüsselgenerierung Permuted Choice 1 (Schlüsselpermutation) Zyklische Schiebeoperationen auf Registern C und D in Abh. der Runde Permuted Choice 2 (Schlüsselauswahl 48 aus 56 Bit)

19 DES (Data Encryption Standard)

20 DES (Data Encryption Standard) S-Boxen S1: 0: : S2: 0: : : : S3: 0: : : : S4: 0: : : : S5: 0: : : : S6: 0: : : : S7: 0: : : : S8: 0: : : :

21 DES (Data Encryption Standard) Inputpermutation IP Outputpermutation IP Expansionsabbildung E Permutationsabbildung P Schlüsselpermutation (Permuted Choice 1, PC1) Schlüsselauswahl (Permuted Choice 2, PC2) Anzahl der Shifts bei der Chiffrierung bzw. Deciffrierung Rundennummer: Links-Shifts: (Ver) Rechts-Shifts: (Ent)

22 Eigenschaften des DES Der DES ist vollständig: Jedes Output-Bit hängt von jedem Input-Bit ab. Der DES ist derart komplex, daß keinerlei analytische Abhängigkeit zwischen Input und Output oder Schlüssel und Output feststellbar ist. Der DES ist invariant gegenüber Komplementbildung, d.h. DES(K, M) = DES(K, M) Vier der 2 56 Schlüssel sind schwach, d.h. DES(K, DES(K, M)) = M. Externer SchlŸssel C-Register D-Register F 1F 1F 1F 0E 0E 0E 0E FFFFFFF E0 E0 E0 E0 F1 F1 F1 F1 FFFFFFF FE FE FE FE FE FE FE FE FFFFFFF FFFFFFF Kritikpunkte Designkriterien wurden nicht offengelegt (inzwischen bekannt) wirksame Schlüssellänge heute viel zu gering (56 Bit) nur ineffizient in Software implementierbar (wg. Permutationen) 3-DES (Triple-DES) Verbesserung der Sicherheit durch 3-fache Anwendung S = DES(K1, DES(K2, DES(K1, M)))

23 IDEA International Data Encryption Algorithm Symmetrische Blockchiffre M {0,1} 64, K {0,1} 128 Operationen bitweise Addition mod 2. Addition mod 2 16 Multiplikation mod (0 wird durch 2 16 dargestellt) M wird in vier 16-Bit-Operanden m 1 m 4.zerlegt. Es werden i=1 8 Runden durchlaufen. Aus K werden sechs 16-Bit-Operanden k i,1 k i,6.erzeugt. Teilschlüsselgenerierung K k 1,1 k 1,6, k 2,1, k 2,2 (K wird in 8 Teile zerlegt.) shiftleft(k, 25) k 2,3 k 2,6, k 3,1 k 3,4 shiftleft(k, 25) k 3,5, k 3,6, k 4,1 k 4,6 u.s.w Nach jeder Erzeugung zyklische Linksverschiebung von K um 25 Bitstellen.

24 IDEA International Data Encryption Algorithm m 1 m 2 m 3 m 4 k i,1. + k i,2 k i,3 +. k i,4 + selbstinvers + k i, k i, k 9,1. + k 9,2 k 9,3 +. k 9,4 c 1 c 2 c 3 c 4 + Addition mod2 16. Multiplikation mod( ) + XOR

25 IDEA International Data Encryption Algorithm Entschlüsselung kj sei Teilschlüssel zum Verschlüsseln in Runde j dj sei Teilschlüssel zum Entschlüsseln in Runde j r max sei Rundenzahl (hier r max = 8) z = r max +2 d j,1 = (k z-j,1 ) -1 mod mit 1 j r max +1 d j,4 = (k z-j,4 ) -1 mod mit 1 j r max +1 d j,2 = (k z-j,2 ) -1 mod 2 16 mit j = 1, j = r max +1 d j,2 = (k z-j,3 ) -1 mod 2 16 mit 1 < j < r max +1 d j,3 = (k z-j,3 ) -1 mod 2 16 mit j = 1, j = r max +1 d j,3 = (k z-j,2 ) -1 mod 2 16 mit 1 < j < r max +1 d j,5 = (k z-(j+1),5 ) mit 1 j r max +1 d j,6 = (k z-(j+1),6 ) mit 1 j r max +1 Eigenschaften sehr gut in Hard- und Software implementierbar sehr effizient für kommerzielle Anwendungen fallen Lizenzgebühren an

26 Advanced Encryption Algorithm (AES) Januar 1997 vom National Institute of Standards and Technology (NIST) als Nachfolger für DES initiiert Kriterien: symmetrische Blockchiffre mit einer Blockgröße von 128 Bit und variabler Schlüssellänge von 128, 192 und 256 Bit. AES soll für mindestens 30 Jahre Sicherheit bieten. Weder Algorithmus noch Implementierung dürfen patentiert sein. Spezifikation: August 1998 wurden 15 Kandidaten der Öffentlichkeit zur Begutachtung vorgelegt. August 1999 wurden die 5 Finalisten vorgestellt: MARS IBM RC6 RSA Labs Rijndael Joan Daemen (Proton World Intl.), Vincent Rijmen (Katholieke Universiteit Leuven, Belgien) Serpent Ross Anderson (Univ of Cambridge), Eli Biham (Technion), Lars Knudsen (UC San Diego) Twofish Bruce Schneider, John Kelsey, Niels Ferguson (Counterpane Internet Security), Doug Whiting (Hi/fn, Inc.), David Wagner (UC Berkeley), Chris Hall (Princeton Univ.) Oktober 2000: Rijndael wird ausgewählt. Begründung: Beste Kombination von Sicherheit, Leistungsfähigkeit, Effizienz und Implementierbarkeit sowohl in Software als auch in Hardware.

27 Rijndael (AES) sprich: "Rein-dahl" keine Feistel-Chiffre, arbeitet aber in Runden Rundentransformation besteht aus drei invertierbaren Transformationen variable Blocklänge und variable Schlüssellänge, jeweils unabhängig wählbar aus {128 Bit, 192 Bit, 256 Bit}. Blockbreite {Nachrichtenblock, Schlüssel} in Bit = {Nb, Nk} 8 Bit 4 rows Beispiel: Nb = 6 und Nk = 4 State Cipher Key a 0,0 a 0,1 a 0,2 a 0,3 a 0,4 a 0,5 k 0,0 k 0,1 k 0,2 k 0,3 a 1,0 a 1,1 a 1,2 a 1,3 a 1,4 a 1,5 k 1,0 k 1,1 k 1,2 k 1,3 a 2,0 a 2,1 a 2,2 a 2,3 a 2,4 a 2,5 k 2,0 k 2,1 k 2,2 k 2,3 a 3,0 a 3,1 a 3,2 a 3,3 a 3,4 a 3,5 k 3,0 k 3,1 k 3,2 k 3,3 Rundenzahl Nr ist eine Funktion von Nb und NK Nr Nb=4 Nb=6 Nb=8 Nk= Nk= Nk=

28 Rijndael (AES) Cipher Rijndael(State,CipherKey) { KeyExpansion(CipherKey,ExpandedKey); AddRoundKey(State,ExpandedKey); For(i=1;i<Nr;i++) Round(State,ExpandedKey+Nb*i); // Pointer! FinalRound(State,ExpandedKey+Nb*Nr); // Pointer! } Round Transformation Round(State,RoundKey) { ByteSub(State); ShiftRow(State); MixColumn(State); AddRoundKey(State,RoundKey); } FinalRound(State,RoundKey) { // wie Round, aber ohne MixColumn ByteSub(State); ShiftRow(State); AddRoundKey(State,RoundKey); }

29 Rijndael (AES) ByteSub operiert auf jedem Byte von State unabhängig (S-Box-Transformation) 1. berechne das Multiplikative Inverse in GF(2 8 ) mit m(x) = x 8 +x 4 +x 3 +x+1 2. berechne: y y y y y y y y x x x x x x x x = a 0,0 a 0,1 a 0,2 a 0,3 a 0,4 a 0,5 a 0,0 a 0,1 a 0,2 a 0,3 a 0,4 a 0,5 a 1,0 a 1,1 a 1,2 a 1,3 a 1,4 a 1,5 a 1,0 a 1,1 a 1,2 a 1,3 a 1,4 a 1,5 a 2,0 a 2,1 a 2,2 a 2,3 a 2,4 a 2,5 a 2,0 a 2,1 a 2,2 a 2,3 a 2,4 a 2,5 a 3,0 a 3,1 a 3,2 a 3,3 a 3,4 a 3,5 a 3,0 a 3,1 a 3,2 a 3,3 a 3,4 a 3,5 ByteSub kann als Tabelle vorberechnet werden. Umkehroperation: Inverse Tabelle und anschließend Berechnung des Multiplikatieven Inversen in GF(2 8 )

30 Rijndael (AES) ShiftRow Anzahl der zyklischen Linksshifts in Abhängigkeit von Nb row 0 row 1 row 2 row 3 Beispiel: Nb=6 Nb= Nb= Nb= row 0: no shift a 0,0 a 0,1 a 0,2 a 0,3 a 0,4 a 0,5 row 1: 1 shift a 1,0 a 1,1 a 1,2 a 1,3 a 1,4 a 1,5 row 2: 2 shift a 2,0 a 2,1 a 2,2 a 2,3 a 2,4 a 2,5 row 3: 3 shift a 3,0 a 3,1 a 3,2 a 3,3 a 3,4 a 3,5 Resultat a 0,0 a 0,1 a 0,2 a 0,3 a 0,4 a 0,5 a 1,1 a 1,2 a 1,3 a 1,4 a 1,5 a 1,0 a 2,2 a 2,3 a 2,4 a 2,5 a 2,0 a 2,1 a 3,3 a 3,4 a 3,5 a 3,0 a 3,1 a 3,2

31 Rijndael (AES) MixColumn operiert auf allen Spalten von State Berechne b(x) = a(x) c(x) mod x 4 +1 mit c(x) = '03' x 3 + '01' x 2 + '01' x + 02 d.h. b b b b = a a a a a 0,0 a 0,1 a 0,2 a 0,3 a 0,4 a 0,5 b 0,0 b 0,1 b 0,2 b 0,3 b 0,4 b 0,5 a 1,0 a 1,1 a 1,2 a 1,3 a 1,4 a 1,5 b 1,0 b 1,1 b 1,2 b 1,3 b 1,4 b 1,5 a 2,0 a 2,1 a 2,2 a 2,3 a 2,4 a 2,5 b 2,0 b 2,1 b 2,2 b 2,3 b 2,4 b 2,5 a 3,0 a 3,1 a 3,2 a 3,3 a 3,4 a 3,5 b 3,0 b 3,1 b 3,2 b 3,3 b 3,4 b 3,5 Inverse Operation: a(x) = b(x) d(x) mod x 4 +1 mit d(x) = '0B' x 3 + '0D' x 2 + '09' x + 0E, da ( '03' x 3 + '01' x 2 + '01' x + 02 ) d(x) = '01' (neutrales Element bzgl. Mult.) AddRoundKey Länge von RoundKey entspricht Nb Berechne bitweise XOR-Verknüpfung von State und RoundKey: State := State RoundKey

32 Rijndael (AES) KeyExpansion für Nk<=6: KeyExpansion(byte Key[4*Nk] word W[Nb*(Nr+1)]){ for(i = 0; i < Nk; i++) W[i] = (Key[4*i],Key[4*i+1],Key[4*i+2],Key[4*i+3]); for(i = Nk; i < Nb * (Nr + 1); i++) { temp = W[i - 1]; if (i % Nk == 0) temp = ByteSub(RotByte(temp)) ^ Rcon[i / Nk]; W[i] = W[i - Nk] ^ temp; } } für Nk >6: KeyExpansion(byte Key[4*Nk] word W[Nb*(Nr+1)]) { for(i = 0; i < Nk; i++) W[i] = (key[4*i],key[4*i+1],key[4*i+2],key[4*i+3]); for(i = Nk; i < Nb * (Nr + 1); i++) { temp = W[i - 1]; if (i % Nk == 0) temp = ByteSub(RotByte(temp)) ^ Rcon[i / Nk]; else if (i % Nk == 4) temp = ByteSub(temp); W[i] = W[i - Nk] ^ temp; } }

33 Rijndael (AES) RotByte: zyklische Schiebeoperation Rcon[i] = (RC[i], '00','00','00') RC[1] = 1 RC[2] = x (RC[i-1]) = x (i-1) RoundKey Selection fortlaufende Auswahl Beispiel für Nb = 6 und Nk = 4: W 0 W 1 W 2 W 3 W 4 W 5 W 6 W 7 W 8 W 9 W 10 W 11 W 12 W 13 W 14 Round Key 0 Round Key 1

34 Betriebsarten von Blockchiffren Electronic Code Book (ECB) M E C -1 E M K K Sender Empfänger C = E(K, M) M = E -1 (K, M) Cipher Block Chaining (CBC) M E C -1 E M Sender K IV K Empfänger C 0 = IV C i = E(K, M i C i-1 ) C 0 = IV M i = E -1 (K, C i ) C i-1 )

35 Betriebsarten von Blockchiffren CBC zur Authentikation E E K IV K letzter IV Block Vergleich ok? M Sender M Empfänger M PCBC (Plain Cipher Block Chaining) h h M E -1 E C M Sender K K Empfänger h beliebige Funktion, z.b. Addition mod 2 Blocklänge gleichzeitig Authentisierung und Verschlüsselung letzter Block ist Redundanzblock für Authentikation

36 Betriebsarten von Blockchiffren Output Feedback (OFB) E E K K M IV Sender C IV Empfänger M Cipher Feedback (CFB) E E K K M IV Sender C IV Empfänger M

37 Betriebsarten von Blockchiffren Fehlerfortpflanzung Fehlerstelle ECB-Modus CBC-Modus PCBC-Modus OFB-Modus CFB-Modus

38 Betriebsarten von Blockchiffren Modus Vorteile Nachteile ECB Direktzugriff möglich CBC OFB CFB keine Fehlerfortpflanzung bei additiven Fehlern gleiche Klartextblöcke liefern unterschiedliche Chiffretextblöcke Manipulationen sind erkennbar Kryptoanalyse erschwert gegenüber ECB-Modus keine Fehlerfortpflanzung bei additiven Fehlern Schlüsselstrom abhängig von Klartextstrom Kryptoanalyse erschwert gegenüber OFB-Modus Manipulationen sind erkennbar selbstsynchronisierender Modus Fehlerfortpflanzung in alle nachfolgenden Blöcke bei Synchronisationsfehlern gezieltes Einfügen und Entfernen von Blöcken möglich gleiche Klartextblöcke liefern gleiche Chiffretextblöcke Codebuchanalyse möglich kein Direktzugriff möglich Fehlerfortpflanzung in den Folgeblock bei additiven Fehlern anfällig gegen Synchronisationsfehler geringere Verschlüsselungsrate pro DES-Aufruf als ECB- und CBC-Modus (abh. von Bitbreite) kein Direktzugriff möglich unerkennbare Manipulationen sind u.u. möglich anfällig gegen Synchronisationsfehler geringere Verschlüsselungsrate pro DES-Aufruf als ECB-und CBC-Modus (abh. von Bitbreite) kein Direktzugriff möglich Fehlerfortpflanzung

39 Konstruktionen aus einer symmetrischen Blockchiffre Hashfunktion E letzter Block M (sonst: K) Aus Sicherheitsgründen sollte die Schlüssellänge nicht wesentlich länger sein als die Blocklänge Pseudozufallszahlengenerator E seed (sonst: K) pseudo random number

40 Mathematische Grundlagen asymmetrischer Systeme Modulo-Rechnung Grundlagen Erweiterter Euklidscher Algorithmus Systeme auf der Basis des diskreten Logarithmus primitive Wurzel diskreter Logarithmus Problem Systeme auf der Basis der Faktorisierungsannahme Faktorisierungsannahme Primzahlzerlegung

41 Erweiterter Euklidscher Algorithmus Anwendung zur Bestimmung von ggt(a,b) und zur Ermittlung der multiplikativen Inversen der Zahl b im Restklassenring modulo a, d. h. zur Berechnung von b-1 aus der Beziehung Algorithmus b b-1 1 mod a. Seien a, b N +1, a > b Setze r -2 = a s -2 = 0 t -2 = 1 r -1 = b s -1 = 1 t -1 = 0 Berechne c k, r k, s k und t -k nach folgenden Beziehungen: c k = r k-2 DIV r k-1 r k = r k-2 MOD r k-1 s k = c k s k-1 + s k-2 t k = c k t k-1 + t k-2 Abbruchbedingung : r k = 0 Es gilt: b s k-1 a t k-1 = (-1)k r k-1 Ergebnisse: r k-1 = ggt(a,b) s k-1 b = (-1)k mod a, falls ggt(a,b) = 1

42 Erweiterter Euklidscher Algorithmus c k = r k-2 DIV r k-1 r k = r k-2 MOD r k-1 s k = c k s k-1 + s k-2 t k = c k t k-1 + t k-2 Beispiel 1 Gegeben: a=10 b=4 Gesucht: ggt(a,b) k c k r k s k t k = a = b = ggt (Abbruch) Beispiel 2 Gegeben: p=53 q=61 n=p q=3233 Φ(n)=(p-1) (q-1)=3120 c=523 Gesucht: c c-1 = 1 mod Φ(n), d.h. Multiplikatives Inverses zu c mod Φ(n) k c k r k s k t k = a = Φ = b = c = ggt (Abbruch) Es gilt: s k-1 b = (-1) k mod a = (-1)3 mod = -1 mod = -1 mod = -1 mod 3120 Da (-1)k = (-1) 3 = -1, muß noch mit -1 multipliziert werden. -s k-1 b = -(-1) k mod a c = -s k-1 = -173 = a c = 2947

43 Eulersche-Φ-Funktion Definition Eulersche Φ-Funktion Für eine beliebige ganze Zahl n bildet die Menge Zn * der ganzen Zahlen modulo n, die zu n teilerfremd sind, eine multiplikative Gruppe Die Ordnung dieser Gruppe ist Φ(m). Beispiel: Φ(9) = 6 Z9 * = {1,2,4,5,7,8} Für den Sonderfall n = p P gilt Φ(p) = p-1. Satz von Euler Theorem von Lagrange Für ein beliebiges x mit (1 x < n), das zu n teilerfremd ist bzw. x Zn *, gilt x Φ(n) = 1 mod n. Wenn n das Produkt zweier Primzahlen n = p q ist, gilt x Φ(p q) = x (p-1) (q-1) mod p q. Mit Φ(p) = p-1folgt die Euler-Fermat-Identität x p-1 = 1 mod p (1 x p-1).

44 Primitive Wurzel Definition Eine beliebige ganze Zahl im Bereich 1 a < n heißt primitive Wurzel, wenn gilt Theorem ggt (a,n) = 1 und ad 1 mod n für alle d mit der Bedingung 1 d < Φ (n) Die ganze Zahl n hat genau dann eine primitive Wurzel, wenn n = 1, 2 oder 4 ist oder die Form pk oder 2pk hat, wobei p eine ungerade Primzahl ist. Wenn n eine primitive Wurzel hat, dann hat n genau Φ(Φ(n)) primitive Wurzeln. Vermutung Jede ganze Zahl, die keine Quadratzahl ist, ist die primitive Wurzel einer Primzahl.

45 Diskreter Logarithmus Definition diskreter Logarithmus Sei p eine beliebige ganze Zahl, die eine primitive Wurzel a hat. Wenn für ein beliebiges c mit 0 c < Φ(p) b = a c mod p gilt, dann ist c der diskrete Logarithmus zur Basis a modulo p oder auch Problemstellung für den Angreifer Öffentlich bekannt sind a, b, p. c = log a b mod p. Geheim ist c. Erfährt ein Angreifer c, ist das System gebrochen. Folglich möchte ein Angreifer c ermitteln. Beispiel p = 3137; a = 577 öffentlich c = 1374 geheim b = a c mod p = 858 öffentlich c = log a b mod p = log mod 3137 =? (Angreifersicht)

46 Diskreter Logarithmus Algorithmen zur Berechnung des diskreten Logarithmus Baby-Step, Giant-Step, Index-Calculus-Alg., Adleman-Alg. Laufzeit zur Berechnung des diskreter Log. mod p mit p P e (1+o(1))(log p log (log p))1/2 Rechenzeiten bei 10 8 Ops pro sek für versch. Größenordungen von p p Anzahl der Operationen benötigte Zeit in Jahren , , , , , , , , , , Vergleich: Logarithmus log a b (a>0; a 1; b>0) ist diejenige reele Zahl c, für die gilt a c =b. c = log a b wird z.b. gelöst mit log a b = log x b log x a Beispiel 1: Wieviel Bit benötigt man, um die Zahlen zwischen 0 und 255 binär zu kodieren? log = Beispiel 2: a = 577; b = 858; c =? ln 256 ln 2 = 8 Bit. ln 858 c = log a b = log = ln 577 = 1,0624.

47 Faktorisierungsannahme Seien p und q zwei große, unabhängig und zufällig gewählte Primzahlen. p und q werden geheimgehalten. p q Bit Das Produkt n aus p und q wird veröffentlicht: n = p q Die öffentlich ausführbare Funktion (Verschlüsseln bzw. Signaturtest) kommt mit dem öffentlichen n aus. Die private Funktion (Entschlüsseln bzw. Erzeugen einer Signatur) nutzt p und q. Annahme Es ist zwar mit vernünftigem Aufwand möglich, Primzahlen p und q zu finden und diese zu multiplizieren. Es ist aber nicht mit vernünftigem Aufwand möglich, die Primfaktoren von n zu finden. Dass Faktorisierung schwer ist, ist bisher nicht bewiesen. Annahme: Für jeden»schnellen«faktorisierungsalgorithmus F(n) wird die Wahrscheinlichkeit, dass F(n) eine Zahl n=p q tatsächlich faktorisieren kann, schnell kleiner, je größer die Länge p und q der Faktoren ist.

48 Diffie-Hellmann-Key-Exchange A will B Nachricht m schicken B Schlüsselgenerierung: p B P und a primitive Wurzel von p B wählen x B mit 1 x B p B -1 wählen (geheim!) y B = a x B mod p B berechnen Veröffentl. in Schlüsselregister: Key Server: B : a, a p, B p, y, B y öffentlich B B B x B bleibt geheim! A liest Eintrag für B x A mit 1 x A p B -1 wählen y A = a x A mod p B berechnen Key Agreement: k AB = y x B A mod p B berechnen Verschlüsselung: c = E(k AB *, m ) c, y A über unsicheren Kanal B Key Agreement: k BA = y x A B mod p B berechnen Entschlüsselung: m = E -1 (k BA *, c)

49 Diffie-Hellmann-Key-Exchange Berechnung des Kommunikationsschlüssels k AB bzw. k BA erfolgt durch k AB = y x B A mod p B bei A und k BA = y x A B mod p B bei B. Nachweis k AB = y B x A = (a x B) x A = (a x A) x B = y A x B = k BA (mod p B ) Angreifer muß zum Brechen x A oder x B ermitteln, d.h. er muß x A = log a y A mod p B oder x B = log a y B mod p B berechnen. Sicherheit Verfahren ist sicher gegen einen passiven Angreifer. Verfahren ist unsicher gegen einen aktiven Angreifer (Maskerade).

50 Kryptosystem nach El Gamal basiert auf der Schwierigkeit der Berechnung des diskreten Log Schlüsselgenerierung wähle global: p P öffentlich a primitive Wurzel von p öffentlich jeder Tln. wählt: geheimen Schlüssel k i (k i < p-1) geheim k i relativ prim zu p-1, d.h. ggt(k i,p-1)=1 berechnet k i mod (p-1) geheim y i = a -k i mod p ( ) öffentlich Verschlüsselung A will Nachricht m (m < p) an B schicken A besorgt sich p, a, y B A wählt Zufallszahl z (z < p) A berechnet c = y B z m mod p A sendet an B: a z mod p, c A m B Entschlüsselung B berechnet m* = (a z ) kb c mod p Nachweis, daß m* = m m* = (a z ) kb y B z m mod p = (a z ) kb (a k B) z m mod p mit ( ) = a z k B a z k B m mod p mit (a m ) n =a m n = (a z ) k B kb m mod p mit a m +a n =a m+n m* = m

51 Kryptosystem nach El Gamal: Beispiel Schlüsselgenerierung Global öffentlich: p = 3137 a = 577 Teilnehmer B: k B = 1762 geheim k i mod (p-1) = mod 3136 = = 1374 geheim y B = a -k B mod p = mod 3137 = 858 Verschlüsselung A will B vertraulich die Nachricht m = 2115 schicken. A wählt z = 932 geheim berechnet a z mod p = mod 3137 = 1852 z berechnet y B mod p = mod 3137 = 749 z berechnet c = y B m mod p = mod 3137 = 3087 schickt a z = 1852 und c = 3087 an B Entschlüsselung B berechnet (a z ) kb c mod p = mod3137 = 2115

52 RSA-Verfahren (Rivest, Shamir, Adlemann, 1978) Schlüsselgenerierung basiert auf der Faktorisierungsannahme wähle unabh. und zufällig p, q P mit p q und p q berechne n = p q wähle c mit 3 c < Φ(n) und ggt(c, Φ(n)) mit Φ(n) = (p-1)(q-1) berechne d mittels p, q, c als multiplikatives Inverses von c mod Φ(n) c d 1 mod Φ(n) Konzelationssystem Signatursystem öffentl. c, n d (hier meist t genannt), n geheim d, p, g c (hier meist s genannt), p, q Anwendung A will Nachricht m (1 < m < n) an B schicken A besorgt sich öffentliche Parameter von B: c bzw. t, sowie n Verschlüsselung: Signatur: naiv: c(m) := m c mod n sig s (m) := m s mod n sicher: c(m) := (z, m, h(z, m)) c mod n sig s (m) := (h(m)) s mod n A c(m) B A m, sig(m) B Entschlüsselung: Signaturtest: naiv: m* = (m c ) d mod n m* = (m s ) t mod n m* =? m' out(ok) sicher: z*, m*, y = c(m) d mod n y =? h(z*, m*) out(m) h(m)* = ((h(m)) s ) d mod n h(m)* =? h(m') out(ok) Sicherheit Ein Sicherheitsbeweis von RSA ist bisher nicht bekannt.

53 RSA-Verfahren: Angriffe Passiver Angriff auf naives Signatursystem Angenommen, Angreifer kennt zwei Signaturen m s 1 und m2 s sowie die Nachichten m 1 und m 2 und kann eine dritte Signatur m s 3 bilden: m 3 s = m1 s m2 s mod n m 3 = m 1 m 2 mod n Denn es gilt: m 1 s m2 s = (m1 m 2 ) s RSA besitzt multiplikative Struktur, genauer: RSA ist Homomorphismus bezüglich der Multiplikation m 3 ist vom Angreifer jedoch nicht beliebig wählbar. Aktiver Angriff auf naives Signatursystem Angreifer kann m 3 wählen Angriffe nach Davida (benötigt zwei Signaturen) und Moore (benötigt nur noch eine Signatur zur selektiven Fälschung) Angriff wird «ausgenutzt» für blinde Signaturen (Chaum 1985) Verhinderung der Angriffe Signatur eines Hashwertes h(m) der Nachricht m h ist eine kollisionsfreie Hashfunktion Finden einer Kollision, d.h. h(m) = h(m*) mit m m* ist ein schwieriges Problem

54 RSA-Verfahren: Angriffe Raten von Klartextblöcken Angreifer kann wahrscheinliche Klartextblöcke raten, mit c verschlüsseln und mit abgefangenen Schlüsseltexten vergleichen. Verhinderung: deterministisches Kryptosystem Zufallszahl in Klartext hineinkodieren indeterministisches Kryptosystem Aktiver Angriff zum selektiven Brechen von RSA nach Judy Moore Angreifer möchte Schlüsseltextblock S 3 entschlüsselt haben wählt Zufallszahl r mit 1 r < n berechnet multiplikatives Inverses mod n: r -1 berechnet S 2 := S 3 r c mod n läßt S 2 entschlüsseln, d.h. Angreifer erhält S 2 d er weiß S 2 d (S 3 r c ) d S 3 d r c d S 3 d r mod n berechnet S 3 d S 2 d r -1 mod n Verhinderung des aktiven Angriffs Hinzunahme eines Redundanzprädikates, z.b. einer Zufallszahl, so daß das Multiplizieren zweier Klartextblöcke keinen dritten Klartextblock mit passender Redundanz ergibt vor Verschlüsselung Hashwert an Nachricht anhängen

55 Blinde Signatur mit RSA-Verfahren Algorithmus Teilnehmer möchte Nachricht m signiert haben, ohne daß Signierer die Nachricht m selbst zur Kenntnis bekommt wählt Zufallszahl r mit 1 r < n berechnet multiplikatives Inverses mod n: r -1 «Blendet» die Nachricht m, d.h. berechnet m ~ := m r t mod n läßt m ~ signieren, d.h. erhält m ~ s er weiß m ~ s (m r t ) s m s r t s m s r mod n «Entblendet» die Nachricht, d.h. berechnet sig(m) m s r -1 mod n Anwendung: Anonyme digitale Zahlungssysteme Signierer = Bank; Bank erfährt nichts über Zahlungsflüsse ähnl. Bargeld 1. Kunde schickt «geblendete digitale Banknote» m ~ an Bank 2. Bank belastet Konto des Kunden mit Gegenwert 3. Bank signiert m ~ und schickt m ~ s zurück an Kunden 4. Kunde «entblendet» Banknote und erhält sig(m) 5. Kunde kauft bei Händler ein und bezahlt mit Banknote sig(m) 6. Händler löst sig(m) bei Bank ein 7. Bank prüft sig(m) auf Gültigkeit (korrekte Signatur und nicht bereits eingelöst) 8. Bank schreibt Händler Gegenwert auf seinem Konto gut