Signatursystem nach El Gamal

Transkript

1 Signatursystem nach El Gamal Schlüsselgenerierung wähle global: p P öffentlich a primitive Wurzel von p öffentlich jeder Tln. wählt: x i Z * p geheim berechnet y i = a x i mod p öffentlich Signatur A wählt: Zufallszahl k mit k Z * p-1 bzw. k relativ prim zu p-1, d.h. ggt(k,p-1)=1 A berechnet: k -1 mod (p-1) r = a k mod p h(m) (Hash-Wert von m; h(m) < p) löst die Kongruenz h(m) = (x A r + k s) mod (p-1) nach s auf: s = k -1 (h(m) x A r) mod (p-1) A bildet sig = (s, r) A sendet m, sig A m, sig B Test B berechnet: t 1 = a h(m) mod p t 2 = y A r r s mod p B vergleicht: t 1 =t 2 gültige Signatur t 1 t 2 ungültige Signatur

2 Kryptographie auf Basis Elliptischer Kurven Elliptische Kurve ECC: Elliptic Curve Cryptography Eine elliptische Kurve E(K) über einem Körper K ist die Menge aller Punkte der Ebene K K, deren Koordinaten x und y einer kubischen Gleichung der folgenden Form genügen: F(x,y): y2 = x 3 + ax 2 + bx +c mit a,b,c Z Spezielle Form Für Kryptosysteme: F(x,y): y2 = x 3 + ax +b mod p mit a,b Z und p P Beispiel: E(GF(p)) mit a=2, b=4, p=5 besitzt folgende Punkte: {(0,2),(0,3),(2,1),(2,4),(4,1),(4,4), o} Gruppenstruktur über den Punkten P i = (x i, y i ) definiert: Abgeschlossenheit: P 1 +P 2 =P 3 Assoziativgesetz: (P 1 +P 2 )+P 3 =P 1 +(P 2 +P 3 ) Neutrales Element: P i +o=p i mit o definiert als o=(, ) Inverses Element P i -1=A: P i +A=o Kommuntativgesetz (nur abelsche Gruppe): P 1 +P 2 =P 2 +P 1

3 Kryptographie auf Basis Elliptischer Kurven ECC: Elliptic Curve Cryptography Anwendung von elliptischen Kurven für Kryptographie Nicht alle elliptischen Kurven sing gleich gut für ECC geeignet. Ordnung (Punkteanzahl) von E(K) ist u.a. wichtig für Sicherheit. Methoden zum Finden geeigneter elliptischer Kurven: Vorteile Wähle a, b, p, berechne die Gruppenordnung und überprüfe Sicherheit Wähle p und Gruppenordnung und bestimme a und b (schnellere Methode) bei vergleichbarem Sicherheitsniveau kürzere Schlüssel ( 200 Bit) erzeugen deutlich kürzere Signaturen weniger Rechenaufand Hoffnung: Alternative Kryptoalgorithmen, wenn z.b. Faktorisierungsannahme nicht halten sollte Verfügbare Algorithmen ECDSA: Standardisiertes Signatursystem auf Basis elliptischer Kurven ECElGamal: ElGamal auf Basis elliptischer Kurven

4 Zertifizierung öffentlicher Schlüssel Asymmetrische Kryptographie zur Konzelation (vertraulicher Nachrichtenaustausch) zur Digitalen Signatur (Authentizität und Integrität) Trust Center Erzeugung Zertifizierung Verteilung bzw. Aufbewahrung von kryptographischen Schlüsseln, insbesondere öffentlichen Schlüsseln sicherheitskritische Ansammlung sicherheitskritischer Funktionen

5 Zweck der Schlüsselzertifizierung B hat Schlüsselpaar generiert und will ihn veröffentlichen B c B Bert <bert@abc.de> -----BEGIN PGP PUBLIC KEY BLOCK----- mqgibdqyjk0rbadvpjcdvwmyotqszbt6z4/5m9mydbimdc1ak i+dynnyisqebxqch/rge2i30lrvrk4asx++jstylkuoyxzylx 8LMOlYorgW+lbmsVNXeQSdmbSAUfd3d9bI/+fGwQcz2p0U/up 6W8lIw2zyQkfDaF7xPI7oVZUY1I7cqEfTvic003bgL7/SQmQx suzytg1nefxqifxgukkj01o66wvmqlnxcbi2xuebkayd9lhmf L0ViFDNkla2aw590ZW59gf5I0eUBevSmydIaliH9PmYwjCEio -----END PGP PUBLIC KEY BLOCK----- Verteilung verhindern! c B Angreifer: hält c B zurück generiert selbst ein Schlüsselpaar: c M, d M schickt c M an A (oder legt ihn auf Schlüsselregister) c M Bert <bert@abc.de> -----BEGIN PGP PUBLIC KEY BLOCK----- OTUAoLncfli6Yit0Kqgp/N9h37uopJHbiQCVAw xbbplrdmalp22ij0darxbjlo7u7xornyv3b4m0 l4ydps/ruj9yay62bwqnmeogjanzga5t3mmgdf 7ZLp1dmFYYVYPL4xRfOJ+MF5ifb8RXaDAl+lP8 CwMBAgAKCRDhQCBhSe8dhOYYAJsEEURK2o+VsA u64hbo2wufqlwwq1yb+jad8dbra0optk7v9cne -----END PGP PUBLIC KEY BLOCK----- A besitzt jetzt nicht authentischen Schlüssel von B

6 Maskerade A will B eine Nachricht N schicken A verschlüsseln N mit c M c M (N) Weiterleitung verhindern! Angreifer: hält c M (N) zurück entschlüsselt c M (N) mit d M N=d M (c M (N) verschlüsselt N mit c B und schickt c B (N) an B c B (N) Fazit: Ohne Gewissheit über die Echtheit eines öffentlichen Schlüssels funktioniert keine asymmetrische Konzelation. B

7 Zweck der Schlüsselzertifizierung Testschlüssel für die digitale Signatur Ohne Zertifikate: Angreifer kann ein Schlüsselpaar generieren und einfach behaupten, daß dieser Schlüssel jmd. gehört. Testschlüssel sind wertlos ohne Zertifikat (zumindest in einer offenen Welt) Zertifikat bestätigt die Zusammengehörigkeit von Testschlüssel und Benutzeridentität bzw. Testschlüssel und Pseudonym. Wie wertvoll ist ein Zertifikat überhaupt? Gültig in welcher Gruppe? Wie sind die Haftungsbedingungen? Existiert ein Trusted Path?

8 Zertifizierungsmodelle Web of Trust (Dezentral) Vorteile: einfache, flexible Nutzung Nutzer viele potentielle Zertifikatsketten Nachteile: keine oder nur schwer erreichbare Beweisführung im Streitfall finden eines vertrauenswürdigen Pfades aufwendiger Hierarchische Zertifizierung (hierarchisch-zentral) Zertifizierungsstellen Vorteile: klare Strukturen und Zurechenbarkeiten (wichtig im Streitfall) Nachteile: anfällig gegen Fehlverhalten Nutzer Overhead durch Organisationsstruktur

9 Zertifizierungsmodelle Web of Trust (Dezentral) Vorteile: einfache, flexible Nutzung Nutzer viele potentielle Zertifikatsketten Nachteile: keine oder nur schwer erreichbare Beweisführung im Streitfall finden eines vertrauenswürdigen Pfades aufwendiger Hierarchische Zertifizierung (hierarchisch-zentral) Zertifizierungsstellen???????? Nutzer Vorteile: klare Strukturen und Zurechenbarkeiten (wichtig im Streitfall) Nachteile: anfällig gegen Fehlverhalten Overhead durch Organisationsstruktur Cross Certification reduziert Fehlermöglichkeiten

10 Zertifizierungsmodelle als Graph gesehen Haftung des Zertifizierers Vermaschter Graph Baum (minimal zusammenhängender Graph) Ja Reduzieren der Fehleranfälligkeit durch Cross Certification Nein zu gefährlich

11 Was geht ohne externe Trust Center? Kommunikation in geschlossener Gruppe mit festgelegter Policy: sehr gut Offene Kommunikation zunächst ohne rechtliche Relevanz: sehr gut einfach nur vertraulicher und authentischer Nachrichtenaustausch zwischen den Kommunikationspartnern, eben Pretty Good Privacy PGP mit Erweiterungen im Netz; Beispiele: Keyserver: Pathserver: Global Trust Register (Uni Cambridge, UK): mit rechtlicher Relevanz: nur mit Einschränkungen Haftet ein Zertifizierer eines Schlüssels, wenn der zertifizierte Schlüssel doch nicht so authentisch war? Aber: Hierarchisches System ebenfalls realisierbar im Web of Trust; Beispiele: PGP Key Certification Authority (c't-krypto-kampagne) Individual Network Certification Authority (IN-CA) Pseudonyme Kommunikation Testschlüssel t ist das Pseudonym des Teilnehmers mit PGP auch heute schon realisierbar

12 AT&T PathServer

13 AT&T PathServer

14 AT&T PathServer

15 ITU X.509 Zertifikate Festlegung eines standardisierten Formats für Zertifikate X.509v1 X.509v2 X.509v3 X.509 Version Seriennummer Sig-Algorithmus Gültigkeit Aussteller Name des Benutzers Öffentlicher Schlüssel X.509 Version Seriennummer Sig-Algorithmus Gültigkeit Aussteller Name des Benutzers Öffentlicher Schlüssel X.509 Version Seriennummer Sig-Algorithmus Gültigkeit Aussteller Name des Benutzers Öffentlicher Schlüssel Aussteller-ID Benutzer-ID Aussteller-ID Benutzer-ID Erweiterungen Digitale Signatur Digitale Signatur Digitale Signatur Name des Benutzers hierarchisch aufgebauter distinguished name cn = Hannes Federrath, ou = Informatik, o = TU Dresden, c = DE Erweiterungen in X.509v3 Art des Schlüssels, Anwendungsbereich Alternative Namen für Inhaber und Aussteller Einschränkungen bzgl. cross certification Informationen bzgl. Sperrlisten private ausstellerspezifische Erweiterungen

16 Trusted Third Parties und Konzelation Trusted Third Parties werden gebraucht, wenn etwas bewiesen werden soll und nur dort. Digitale Signatur: Beweisbarkeit erforderlich Fremdzertifizierung des Testschlüssels durch Zertifizierungsstellen Nicht bei Konzelation! Bei Konzelation genügt es, sicher zu sein, daß ein öffentlicher Konzelationsschlüssel authentisch ist. Konzelation: keine Beweisbarkeit erforderlich Echtheit von Konzelationsschlüsseln kann über vorhandene Infrastruktur für Digitale Signatur gesichert werden: Konzelation: Selbstzertifizierung des eigenen Konzelationsschlüssels, jedoch keine Fremdzertifizierung

17 Trusted Third Parties und Konzelation Sichere Digitale Signaturen sichere Konzelation Zertifizierungsstellen A B Test des Selbstzertifikates CA 3. s CA (A,t A ) 1. t A 2. t von A A generiert (s A,t A ) generiert (c A,d A ) s A (A,c A ) c A (geheime Nachricht) B CA-Zertifikat testen A-Zertifikat testen Unter der Voraussetzung, daß eine funktionierende Infrastruktur für Digitale Signaturen existiert, wird keine zusätzliche für Konzelation benötigt. Vorhandene Infrastruktur kann zur Sicherung der Authentizität der Konzelationschlüssel verwendet werden.

18 Key Recovery und Key Escrow Key Recovery Hinterlegung des Entschlüsselungsschlüssels zum Zweck der Entschlüsselbarkeit bei Schlüsselverlust. Schwellwertschema: Schlüssel wird in n+k Teile zerlegt. Zur Rekonstruktion werden wenigstens n Teile benötigt. Key Escrow Hinterlegung des Entschlüsselungsschlüssels zum Zweck der Strafverfolgung. so dass alle Nachrichten ab einem bestimmten Zeitpunkt entschlüsselt werden können so dass Nachrichten auch rückwirkend entschlüsselt werden können Beachte Signaturschlüssel müssen nie hinterlegt werden, da eine Signatur stets testbar bleibt. Bei Verlust des Signierschlüssels: neuen erzeugen. Konzelation Schutz der Kommunikation Key Recovery langfristigen Speicherung Key Recovery Authentikation symmetrisch (MACs) asymmetrisch (dig. Signatur) für Funktion unnötig, aber sinnvoll zusätzliches Sicherheitsrisiko