Kryptografische Protokolle

Transkript

1 Kryptografische Protokolle Lerneinheit 6: Elektronisches Geld Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Sommersemester

2 Anforderungen an elektronisches Geld Sicherheit: Sowohl das Erstellen von Blüten als auch das Verändern des Wertes von elektronischem Geld muss schwierig sein Wiederholtes Ausgeben: Sogenanntes Double-Spending, also das mehrmalige Ausgeben einer elektronischen Banknote, muss erkennbar sein, oder (noch besser) verhindert werden Anonymität: Die Bank soll keine Möglichkeit haben, Profile über das Kaufverhalten ihrer Kunden zu erstellen Aufwand: Der Einsatz von elektronischem Geld muss praktikabel und kostengünstig sein Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 2 / 26

3 Teilnehmer am Zahlungsverkehr Ein System zur Abwicklung von elektronischem Zahlungsverkehr besteht aus drei Teilnehmern Die Bank B zertifiziert das Geld. Sie verwaltet und kontrolliert den Mittelfluß Der Händler H bietet Waren an und leitet seine Einnahmen an B zwecks Gutschrift weiter Der Kunde A hebt elektronisches Geld von seinem Konto ab und kauft bei H ein Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 3 / 26

4 Arten von elektronischem Geld Man unterscheidet zwei Arten von elektronischem Geld Bei Macropayment-Systemen werden größere Summen transferiert Micropayment-Systeme zielen auf Klein- oder Kleinstbeträge ab. Beispiele sind Pay-Per-View Systeme oder Online-Zeitungen Richtlinie: Je mehr Geld transferiert wird, desto höher sind die Sicherheitsanforderungen Aber: Mit zunehmender Sicherheit werden die Systeme komplexer Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 4 / 26

5 Basismechanismen Verschiedene kryptografische Mechanismen bieten die Grundlage für elektronisches Geld. Die wichtigsten sind die folgenden. Public Key Kryptosysteme wie z.b. RSA werden zur Verschlüsselung und Signierung der Daten eingesetzt Blinde Signatur ermöglicht die Anonymisierung von elektronischen Geldscheinen Selbstauthentisierende Einweg-Ketten erlauben effizientes und kostengünstiges Micropayment Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 5 / 26

6 Aufbau einer elektronischen Banknote Wert der Geldnote Betrag Banksiegel Seriennummer Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 6 / 26

7 Seriennummern auf Basis von DSA Zur Generierung der Seriennummer N setzt Alice das DSA Verfahren ein. Im folgenden ist a der geheime und (p A, q A, α, β) der öffentliche DSA-Schlüssel von Alice. Zur Erinnerung: β = α a mod p A Die Erstellung von N erfolgt in zwei Schritten: 1. Alice generiert eine Zufallszahl z Z q A 2. Unter Verwendung einer kryptografischen Hashfunktion h berechnet Alice den Wert N = h(α z, β) Die (Seriennummer der) Banknote N besteht also aus einer (geheimen) Zufallszahl sowie dem öffentlichen DSA-Schlüssel Beachte: Die Zufallszahl z wird bei der Bestellung zur Signierung mittels DSA eingesetzt Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 7 / 26

8 Elektronische Prägung mittels RSA Die Bank B setzt das RSA System ein. Zur Signierung der 50e-Banknoten wird der Schlüssel (n B, d B, e B ) eingesetzt. n B = pq ist das Produkt zweier Primzahlen p und q. Es gilt: e B d B 1 (mod (p 1)(q 1)). Hieraus folgt: (x e B ) d B x (mod nb ) für alle x Z n. Die Werte n B und d B sind öffentlich zugänglich, e B ist das Geheimnis der Bank Die Signatur von x Z n ist s = x e B mod nb Zur Verifikation des Paars (x, s) überprüft man die Gleichheit von x und s d B mod nb Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 8 / 26

9 Blinde Signatur (Idee) Alice muss die Banknote N von der Bank signieren lassen, damit sie mit N einkaufen kann Problem: Schickt Alice N an die Bank, dann kann die Bank das Kaufverhalten von Alice analysieren Idee: Maskiere N mit einem Blender b, lasse N b mod n B von der Bank signieren und entferne anschließend b wieder Lösung: Generiere Zufallszahl r mit gcd(r, n B ) = 1 und berechne b = r d B. Dieser Blender läßt sich durch Multiplikation mit r 1 aus der Signatur wieder entfernen, denn: (N r d B ) eb r 1 N eb r r 1 N e B (mod n B ) Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 9 / 26

10 Blinde Signatur (Ablauf) 2 1 Bank e 50 Alice 3 4 e 50 Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 10 / 26

11 Protokoll zur Blinden Signatur 1. Alice berechnet die Nummer N der Banknote. 2. Alice generiert eine Zufallszahl r mit gcd(r, n B ) = 1 und sendet den Wert N r d B mod nb an die Bank B. 3. Die Bank signiert diesen Wert mit ihrem geheimen Schlüssel, d.h., sie berechnet (N r d B ) e B mod n B = N eb r mod n B und sendet das Ergebnis an Alice. Von Alices Konto werden 50 e abgebucht. 4. Alice entfernt den Blender durch Multiplikation mit r 1 und erhält eine Banknote N mit gültiger Signatur N e B. Wichtig: Die Bank hat die Banknote signiert, kennt aber deren Nummer nicht! Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 11 / 26

12 Ablauf des Einkaufs 1 Bestellung 3 Einlösen e 50 e 50 Alice Händler Bank 2 Versand der Ware 4 Gutschrift Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 12 / 26

13 Einkauf beim Online-Händler H Alice gibt bei dem Online-Händler H eine Bestellung auf. Diese hat das Format (I H, Z, B, N, N e B, γ, δ). Hierbei ist I H eine eindeutige Kennung des Händlers, Z Datum und Uhrzeit der Bestellung, B die Einkaufsliste und N die elektronische Banknote mit Signatur N e B. (γ, δ) ist die DSA-Signatur von SHA1(I H, Z, B, N, N e B ). Als Zufallszahl kommt dasselbe z zum Einsatz, mit dem die Banknote N generiert wurde Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 13 / 26

14 Überprüfung der Bestellung Unter Einsatz von Alice s öffentlichem DSA-Schlüssel und dem öffentlichen RSA-Schlüssel der Bank überprüft H die Korrektheit der folgenden Punkte: 1. Das Paar (γ, δ) ist eine gültige DSA-Signatur von Alice für SHA1(I H, Z, B, N, N e B ). 2. N e B ist eine gültige RSA-Signatur der Bank B für N. 3. Die Zufallszahl passt zur Banknote, d.h., h(γ, β) = h(α z, β) = N. 4. Der Wert der Banknote reicht zur Bezahlung der Ware. Sind alle Punkte erfüllt, dann sendet H die Ware an Alice. Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 14 / 26

15 Gutschrift von N bei der Bank Um eine Gutschrift von der Bank zu erhalten, muss H die Banknote N einlösen. Als Sicherheit verlangt die Bank von H die Hinterlegung einer Information über den Geschäftsvorgang, bei dem N erwirtschaftet wurde H berechnet zunächst die Prüfsumme h B = SHA1(I H, Z, B, N, N e B ) und anschließend folgende Nachricht an die Bank: (I H, N, N e B, RSA dh (h B, γ, δ), s H ) Der Wert RSA dh (h B, γ, δ) steht für die RSA-Verschlüsselung von (h B, γ, δ) mit H s geheimen Schlüssel d H. Die Signatur der obigen Nachricht ist s H Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 15 / 26

16 Arten von Betrügereien Ein Betrug liegt vor, wenn bei der Bank die Banknote N zweimal zwecks Gutschrift eingereicht wird. In diesem Fall gibt es mehrere Möglichkeiten des Betrugs: 1. Der Händler löst das Geld mehrmals ein. 2. Alice gibt das Geld mehrfach aus (Double Spending). 3. Alice und der Händler kooperieren, um die Bank zu betrügen. Die Bank kann alle Arten von Betrügereien aufdecken. Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 16 / 26

17 Fahnung nach den Betrügern Die Bank fordert die Händler H 1 und H 2 auf, ihre RSA-Verschlüsselungen aufzudecken. Auf diese Weise erlangt sie Zugriff auf die signierten Prüfsummen der beiden Bestellungen: (h 1, γ 1, δ 1 ) und (h 2, γ 2, δ 2 ). Die Bank überprüft, ob (γ 1, δ 1 ) bzw. (γ 2, δ 2 ) eine gültige Signatur von h 1 bzw. h 2 ist. Es gibt nun zwei Möglichkeiten: Im Falle einer ungültigen Signatur ist der jeweilige Händler der Betrüger. Falls beide Signaturen gültig sind, dann ist Alice die Gaunerin. Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 17 / 26

18 Alice mogelt Angenommen, Alice gibt die Banknote N mehrmals aus. D.h., sie gibt zwei Bestellungen auf: (I 1, Z 1, B 1, N, N e B, γ1, δ 1 ) und (I 2, Z 2, B 2, N, N e B, γ2, δ 2 ) Mit hoher Wahrscheinlichkeit unterscheiden sich die Bestellungen in mindestens einer Komponente, z.b. in den Zeitstempeln Z 1 und Z 2. Dies führt zu verschiedenen Prüfsummen x 1 = SHA1(I 1, Z 1, B 1, N, N e B ) und x 2 = SHA1(I 2, Z 2, B 2, N, N e B ) und somit zu zwei verschiedenen Signaturen δ 1 und δ 2 Dagegen ist γ 1 = γ 2 = γ, denn in diesem Wert ist die Zufallszahl der Banknote N verankert Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 18 / 26

19 Alice s Betrug fliegt auf Unter Verwendung von x 1, x 2, δ 1, δ 2 und γ läßt sich Alice überführen und ihr geheimer DSA-Schlüssel a offen legen Man berechnet (modulo q A ): δ 1 = (x 1 + aγ)z 1 = x 1 z 1 + aγz 1 δ 2 = (x 2 + aγ)z 1 = x 2 z 1 + aγz 1 Somit: δ 1 δ 2 = (x 1 x 2 )z 1 und z 1 = (δ 1 δ 2 )(x 1 x 2 ) 1 Hieraus berechnet man: a 1 = (δ 1 x 1 z 1 )γ 1 z a 2 = (δ 2 x 2 z 1 )γ 1 z Falls a 1 = a 2 und α a 1 = β, dann ist a 1 der geheime Schlüssel von Alice. Alice ist aufgeflogen Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 19 / 26

20 Ein entscheidender Nachteil Das Verfahren ist zwar sicher, hat jedoch einen entscheidenden Nachteil: Für jeden Einkauf benötigt Alice eine von der Bank signierte Banknote N, die wertmässig mit dem Betrag der Bestellung übereinstimmt. Hieraus ergeben sich folgende Konsequenzen: Pro Transaktion entstehen Alice Zusatzkosten, da die Bank pro Signatur abkassiert Das Verfahren ist ungeeignet für Geschäfte, die eine kontinuierliche Bezahlung erfordern, beispielsweise Internet-Kino mit minutenweiser Berechnung Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 20 / 26

21 Selbstauthentisierende Einweg-Kette 1 N 5 1 N 4 1 N N 1??? N 2 N 0 Geldbörse Zertifikat : "wird zertifiziert von" Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 21 / 26

22 Konstruktion einer Einweg-Kette (Prinzip) Zur Generierung kommt eine kryptografische Hash-Funktion H zum Einsatz. Reihenfolge der Berechnung H H H H H N 5 N 4 N 3 N 2 N 1 N 0 Signierung N 5 N 4 N 3 N 2 N 1 N 0 Reihenfolge der Freigabe Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 22 / 26

23 Konstruktion einer Einweg-Kette Zur Konstruktion der Einweg-Kette setzt Alice eine schwach kollisionsresistente Hashfunktion H ein. Die Konstruktion erfolgt in folgenden Schritten: 1. Alice generiert zufällig den Wert N n 2. Anschließend berechnet sie iterativ eine Kette N n 1,..., N 1, N 0, wobei N i = H(N i+1 ) für i = 0,..., n 1 3. Alice legt das Paar (N 0, n) der Bank B zur Signierung vor. Die Bank bestätigt mit dem Zertifikat Z B, dass es sich bei (N 0, n) um eine Einweg-Kette mit n Gliedern handelt. Der Wert eines Kettenglieds ist z.b. 1 Cent Beachte: Eine Kette der Länge 2 20 kann man innerhalb weniger Minuten berechnen. Sie hat immerhin einen Wert von e Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 23 / 26

24 Einkauf mit Einweg-Ketten Einkauf: Alice sendet die Einweg-Kette (N 0, n) und das Zertifikat Z B an den Händler H. Zur Bezahlung wir die Einweg-Kette nach und nach freigegeben. Angenommen, der aktuelle Freigabewert ist (N i, i). Also hat Alice ein Guthaben von n i Cent. Dann läuft die Abwicklung des nächsten Einkaufs wie folgt ab: 1. Alice bestellt Waren im Wert von im Wert von j Cent. Zu deren Bezahlung sendet sie die Daten (N i+j, i + j) an H. 2. H verifiziert, ob H j (N i+j ) = N i. Falls ja, dann sendet er die Waren an Alice. Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 24 / 26

25 Einkauf mit Einweg-Ketten (Forts.) 3. H sendet (N i+j, i + j) mit weiteren Daten zum Geschäftsvorgang an die Bank B. Diese überprüft die Gültigkeit der Banknote N i+j und schreibt j Cent auf dem Konto von H gut. Bemerkungen: Der Nachteil dieses Systems ist, dass Alice eine Einweg-Kette pro Händler benötigt. Dieser Nachteil läßt sich durch entsprechende Mechanismen beheben. Das Double Spending von Kettengliedern verhindert man mittels DSA-Signaturen. Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 25 / 26

26 Abschließende Bemerkungen Elektronisches Geld ist in der Praxis ein etabliertes Zahlungsmittel. Die in der Vorlesung präsentierten Mechanismen findet man unter anderem im Wenbo System von Hewlett-Packard oder in Payword von Ron Rivest. Weitere Systeme für elektronisches Geld sind: Digicash MilliCent MicroMint NetBill... Prof. Dr. C. Karg (HS Aalen) Kryptografische Protokolle Elektronisches Geld 26 / 26