4 Symmetrische Verfahren Betriebsarten. Betriebsarten Verschlüsselung längerer Nachrichten, Authentikation. 4 Symmetrische Verfahren Betriebsarten

Transkript

1 4 Symmetrische Verfahren Betriebsarten Betriebsarten Verschlüsselung längerer Nachrichten, Authentikation Beispiele für Betriebsarten: Verschlüsselung: Electronic Code Book (ECB) 1981 für DES Cipher Block Chaining (CBC) standardisiert Cipher Feedback (CFB) (FIPS 81) Output Feedback (OFB) Counter Mode (CTR) Authentikation: Cipher-based MAC (CMAC) Authentikation und Verschlüsselung: Counter with CBC-MAC (CCM) Galois/Counter Mode (GCM bzw. GMAC) Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Anwendung der Betriebsarten erlaubt die Konstruktion von synchronen oder selbstsynchronisierenden Stromchiffren aus Blockchiffren (zugrunde liegendes Alphabet wird dabei teilweise gewechselt) Synchrone Stromchiffre: Verschlüsselung eines Zeichens ist abhängig von der Position bzw. von vorhergehenden Klartextoder Schlüsselzeichen Selbstsynchronisierende Stromchiffre: Verschlüsselung ist nur von begrenzter Anzahl vorhergehender Zeichen abhängig ECB, CBC und CFB: selbstsynchronisierende Stromchiffre OFB, CTR: synchrone Stromchiffre Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Betrachtung von Fehlerauswirkungen / Manipulationen Zeitpunkt des Fehlers / der Manipulation während der Übertragung (Speicherung) während der Ver- bzw. Entschlüsselung (transient) Sender enc dec Empfänger Art des Fehlers / der Manipulation Additive Fehler: Verfälschung einzelner Bits ( Addition eines Fehlermusters ); Blockgrenzen bleiben erhalten Synchronisationsfehler: Hinzufügen bzw. Verlust von Blöcken / Bits (letzteres ändert die Blockgrenzen) Kryptographie und Kryptoanalyse 202 1

2 4 Symmetrische Verfahren Betriebsarten Electronic Codebook (ECB) Verschlüsselung Entschlüsselung k k m i l l c i enc c i l dec l m i c i = enc(k, m i ), 1 < i n m i = dec(k, c i ), 1 < i n c = enc(k, m 1 ) enc(k, m 2 )... enc(k, m n ) m = dec(k, c 1 ) dec(k, c 2 )... dec(k, c n ) Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Electronic Codebook (ECB) Eigenschaften Selbstsynchronisierend (Abhängigkeit von 0 Blöcken) Länge der verarbeiteten Einheiten: entsprechend Blockgröße der Blockchiffre (DES: l = 64 Bit) Keine Abhängigkeiten zwischen den Blöcken Direktzugriff auf einzelne Schlüsseltextblöcke möglich gleiche Klartextblöcke liefern gleiche Schlüsseltextblöcke ggf. Kodebuchanalysen möglich Fehlerauswirkungen additive Fehler: keine Fehlerfortpflanzung Synchronisationsfehler bzgl. ganzer Blöcke: keine Fehlerfortpflanzung gezieltes Einfügen und Entfernen von Blöcken möglich Synchronisationsfehler bzgl. Bits: Entschlüsselung fehlerhaft, bis Blockgrenzen erneut festgelegt (falls nicht explizit kenntlich gemacht) Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Cipher Block Chaining (CBC) Verschlüsselung k m i l enc c i l 1 l c i-1 IV Speicher für Schlüsseltextblock c i-1 bzw. IV c 1 = enc(k, (m 1 IV )); IV: Initialisierungsvektor c i = enc(k, (m i c i-1 )), 1 < i n c = enc(k, (m 1 IV)) enc(k, (m 2 c 1 )) enc(k, (m 3 c 2 )) enc(k, (m n c n-1 )) Kryptographie und Kryptoanalyse 205 2

3 4 Symmetrische Verfahren Betriebsarten Cipher Block Chaining (CBC) Entschlüsselung k c i l dec l m i m 1 = dec(k, c 1 ) IV m i = dec(k, c i ) c i-1, 1 < i n c i-1 IV 1 l Speicher für Schlüsseltextblock c i-1 bzw. IV m = dec(k, c 1 ) IV dec(k, c 2 ) c 1 dec(k, c 3 ) c 2 dec(k, c n ) c n-1 Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Cipher Block Chaining (CBC) Eigenschaften Selbstsynchronisierend (Abhängigkeit von 1 Block) Länge der verarbeiteten Einheiten: entsprechend Blockgröße der Blockchiffre (DES: l = 64 Bit) Abhängigkeiten zwischen den Blöcken kein Direktzugriff auf einzelne Schlüsseltextblöcke möglich gleiche Klartextblöcke liefern unterschiedliche Schlüsseltextblöcke Kodebuchanalysen erschwert Initialisierungsvektor IV muss Sender und Empfänger bekannt sein Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Fehlerauswirkungen Fehler während der Übertragung additive Fehler: Fehlerfortpflanzung in den Folgeblock Synchronisationsfehler bzgl. ganzer Blöcke: 2 Blöcke betroffen Synchronisationsfehler bzgl. Bits: Entschlüsselung fehlerhaft, bis Blockgrenzen erneut festgelegt Fehler während der Verschlüsselung ab Fehlerstelle wird ein anderer Schlüsseltext erzeugt Entschlüsselung: nur ein Klartextblock betroffen Verfahren eignet sich zur Authentikation: Manipulationen, Einfügen und Entfernen von Blöcken erkennbar Kryptographie und Kryptoanalyse 208 3

4 4 Symmetrische Verfahren Betriebsarten CBC zur Authentikation (CBC-MAC) k enc c i c i-1 IV 1 l IV = 0 0 letzter Schlüsseltextblock c n m i letzter Schlüsseltextblock wird als MAC angehängt: m 1 m 2 m 3 m n c n Empfänger berechnet ebenfalls c n und vergleicht mit erhaltenem c n Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Cipher Feedback (CFB) Verschlüsselung l r+1 r 1 Schieberegister A a i Inhalt zum Zeitpunkt i a 1 = IV a i = LSB l-r (a i-1 ) c i-1 enc k m i r select r c i = m i select r (enc(k, a i )) für l = 64, r = 8: a i = c i-8 c i-7 c i-6 c i-2 c i-1 Ausgabeblock B b i Ausgabe zum Zeitpunkt i r c i Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Cipher Feedback (CFB) Entschlüsselung l r+1 r 1 Schieberegister A a i Inhalt zum Zeitpunkt i a 1 = IV a i = LSB l-r (a i-1 ) c i-1 enc k c i r select m i = c i select r (enc(k, a i )) für l = 64, r = 8: a i = c i-8 c i-7 c i-6 c i-2 c i-1 r r m i Kryptographie und Kryptoanalyse 211 4

5 4 Symmetrische Verfahren Betriebsarten Cipher Feedback (CFB) Eigenschaften l Selbstsynchronisierend (Abhängigkeit von Einheiten; l: r Blockgröße der Chiffre; DES: l = 64) Länge der verarbeiteten Einheiten: r < b, frei wählbar (z.b. 8 Bit, also byteweise Verarbeitung) Abhängigkeiten zwischen den Blöcken kein Direktzugriff auf einzelne Schlüsseltextblöcke möglich gleiche Klartextblöcke liefern unterschiedliche Schlüsseltextblöcke Initialisierungsvektor IV muss Sender und Empfänger bekannt sein Nur Verschlüsselungsfunktion verwendet es entsteht immer eine symmetrische Chiffre Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Fehlerauswirkungen Fehler während der Übertragung additive Fehler und Synchronisationsfehler bzgl. ganzer Blöcke: Fehlerfortpflanzung entsprechend der Abhängigkeiten von vorherigen Blöcken Synchronisationsfehler bzgl. Bits: Entschlüsselung fehlerhaft, bis Blockgrenzen erneut festgelegt; durch geeignete Wahl von r können Verschiebungen der Blockgrenzen verhindert werden Fehler während der Verschlüsselung entsprechend CBC Verfahren eignet sich zur Authentikation (verschlüsselten letzten Block c n als MAC): Manipulationen, Einfügen und Entfernen von Blöcken erkennbar Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Output Feedback (OFB) Ver-/Entschlüsselung l 1 Eingabeblock A a i Inhalt zum Zeitpunkt i a 1 = IV enc k l 1 m i c i l c i = m i enc(k, a i ) m i = c i enc(k, a i ) l c i m i Anmerkung: in FIPS 81 Länge der verarbeiteten Einheiten frei wählbar Kryptographie und Kryptoanalyse 214 5

6 4 Symmetrische Verfahren Betriebsarten Output Feedback (OFB) Eigenschaften Synchron Abhängigkeit von Position der verarbeiteten Einheit kein Direktzugriff auf einzelne Schlüsseltextblöcke möglich gleiche Klartextblöcke liefern unterschiedliche Schlüsseltextblöcke Initialisierungsvektor IV muss Sender und Empfänger bekannt sein; darf bzgl. eines Schlüssels nur einmal verwendet werden Nur Verschlüsselungsfunktion verwendet es entsteht immer eine symmetrische Chiffre Fehlerauswirkungen additive Fehler: keine Fehlerfortpflanzung anfällig gegen Synchronisationsfehler Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Counter Mode (CTR) Ver-/Entschlüsselung l 1 T i Zähler zum Zeitpunkt i T 1 Startwert des Zählers T i = inc(t i -1 ) enc k l 1 m i c i c i = m i enc(k, T i ) m i = c i enc(k, T i ) c i m i Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Counter Mode (CTR) Eigenschaften Synchron Abhängigkeit von Position der verarbeiteten Einheit gleiche Klartextblöcke liefern unterschiedliche Schlüsseltextblöcke Direktzugriff auf einzelne Schlüsseltextblöcke möglich Zähler muss Sender und Empfänger bekannt sein, darf bzgl. eines Schlüssels nur einmal verwendet werden Nur Verschlüsselungsfunktion verwendet es entsteht immer eine symmetrische Chiffre Fehlerauswirkungen additive Fehler: keine Fehlerfortpflanzung anfällig gegen Synchronisationsfehler Vorteil: Effizienz Kryptographie und Kryptoanalyse 217 6

7 4 Symmetrische Verfahren Betriebsarten Cipher-based MAC (CMAC) Bietet auch Sicherheit für Nachrichten beliebiger Länge Schlüssel k 1 und k 2 werden mit Hilfe des geheimen Schlüssels k ermittelt (abhängig von Blocklänge) und mit letztem Nachrichtenblock XOR-verknüpft Berechnung des MAC ansonsten wie mit CBC (IV = 0 0); Auswahl der Tlen MSBs (most significant bits) als MAC m 1 m 2 m n * ggf. aufgefüllt k enc k enc k enc c n [1:Tlen] k 1, falls m* n kompletter Block / k 2 sonst Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Counter with CBC-MAC (CCM) Vertraulichkeit und Integrität für die Nachricht (payload P) Integrität für zusätzliche Daten (assigned data A) Zufallszahl (nonce N; verschieden für verschiedene Paare (A,P)) Generieren & Verschlüsseln: MAC berechnen für P, A und N mittels CBC-MAC (IV = 0) Verschlüsselung von N, P und MAC mittels CTR Entschlüsseln & Prüfen: Entschlüsselung mittels CTR N, P, MAC Berechnung des MAC für P, A und N mittels CBC-MAC und Vergleich mit entschlüsseltem MAC Kryptographie und Kryptoanalyse Symmetrische Verfahren Betriebsarten Galois/Counter Mode (GCM bzw. GMAC) Vertraulichkeit und Integrität für die Nachricht Integrität für zusätzliche Daten Initialisierungsvektor IV (darf nur einmal verwendet werden) GMAC: zu verschlüsselnde Nachricht der Länge 0 Verschlüsselung: CTR mit spezieller inc-funktion (nur ein Teil der Bits des Zählers werden inkrementiert) erster Wert des Zählers von IV abgeleitet Berechnung des MAC: Hashfunktion GHASH: Multiplikation mit einem festen Parameter H (hash subkey) in einem endlichen Körper H = enc(k, ) Kryptographie und Kryptoanalyse 220 7

8 Überblick über die Vorlesung 1. Einführung 2. Grundlagen 3. Klassische Verfahren 4. Symmetrische Verfahren 5. Asymmetrische Verfahren Grundlagen Diffie-Hellman-Schlüsselaustausch ElGamal RSA Kryptosysteme auf Basis elliptischer Kurven Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen Asymmetrische Verfahren Schlüsselverteilungsproblem bei symmetrischen Systemen Asymmetrische bzw. Public-Key-Systeme: Schlüsselpaare, bestehend aus privatem und öffentlichem Schlüssel Es darf praktisch nicht möglich sein, den privaten Schlüssel aus dem öffentlichen Schlüssel zu ermitteln. Grundlage: Trapdoor-Einwegfunktion A, B Mengen f: A B heißt Einwegfunktion, wenn gilt: f: A B leicht berechenbar für alle a A, aber f -1 : B A schwierig oder nicht berechenbar für fast alle b B Trapdoor-Eigenschaft: Berechnung von f -1 (b) durch Kenntnis bestimmter Zusatzparameter ebenfalls leicht berechenbar. Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen n = {0,1,2,, n-1} Restklassenring modulo n n* : multiplikative Gruppe, n* ú {a n ggt(a,n) = 1} Eulersche Φ-Funktion Anzahl der zu n teilerfremden Zahlen kleiner n: Φ(n) ú {a n ggt(a,n) = 1} Ordnung der Gruppe n * (bzw. p* ); n* ú {a n ggt(a,n) = 1} (Anzahl der Elemente dieser Gruppe) Φ(p)= p-1 (p prim) n = p q; p, q prim, p q: Φ(p q)=(p-1)(q-1) Kryptographie und Kryptoanalyse 223 8

9 5 Asymmetrische Verfahren Grundlagen Erweiterter Euklidscher Algorithmus (EEA) Bestimmung von ggt(a,b) und seiner Linearkombinationsdarstellung: EEA(a,b) ggt(a,b) = u a + v b Bestimmung des multiplikativen Inversen a -1 von a in n * : EEA(a,n) ggt(a,n) = u a + v n = 1 u = a -1 mit aa -1 1 mod n Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen EEA: a,b N, b > a ggt(a,b), ggt(a,b) = u a + v b Initialisierung r q s t -2 b a b mod a b div a s -2 q 0 s -1 t -2 q 0 t -1 i r i-2 mod r i-1 r i-2 div r i-1 s i-2 q i s i-1 t i-2 q i t i-1 Abbruch: r k = 0 Beispiel k-1 r k-1 q k-1 v u k 0 q k ggt(a,b) = r k-1, u = t k-1, v = s k-1 Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen Erzeugung von Primzahlen 1. Wahl einer Zufallszahl p als Kandidat für die Primzahl 2. Test, ob p prim ist 3. Wiederholung von 1. und 2., bis Primzahl gefunden Primzahltest nach Rabin-Miller für p 3 mod 4 p-1 * p prim: a Z p : a 2 1 mod p falls p nicht prim, gilt dies für höchstens ¼ der möglichen a Test für l zufällig gewählte Werte a durchführen Ergebnis einmal 1: p nicht prim Ergebnis bei allen l Versuchen = 1: p prim mit Wahrscheinlichkeit 1 4 -l Kryptographie und Kryptoanalyse 226 9

10 5 Asymmetrische Verfahren Grundlagen Zyklische Gruppe alle Elemente der Gruppe G lassen sich aus einem Element g G (erzeugendes Element oder Generator) durch Potenzieren von g erzeugen: G = <g> Ordnung von Gruppenelementen a G: order G a bzw. order a kleinste natürliche Zahl e mit a e = 1 (e > 0) zyklische Gruppe: order g = G (Ordnung von G) Multiplikative Gruppe Z p * = {1, 2,, p-1} (p prim) ist zyklisch: Z * p = <g> = {g i mod p i = 0, 1,, (p)-1} Kleiner Satz von Fermat Für alle x Z p * gilt: x p-1 1 mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen * Z 7 = {1,2,3,4,5,6} 3 0 = = = = = 9 ª 2 mod = = = = 18 ª 4 mod = = 12 ª 5 mod = = 15 ª 1 mod y = 3 x mod x 3 6 ª 1 mod 7 order 3 = 6 3 ist Generator von Z 7 * Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen * Z 7 = {1,2,3,4,5,6} 2 0 = = = = = = = 8 ª 1 mod = = = = = = 8 ª 1 mod 7 y = 2 x mod x * 2 3 ª 1 mod 7 order 2 = 3 2 ist kein Generator von Z 7 Kryptographie und Kryptoanalyse

11 5 Asymmetrische Verfahren Grundlagen Finden eines Generators g einer Gruppe G Satz von Lagrange: In endlichen Gruppen G teilt die Ordnung jeder Untergruppe H die Ordnung von G: H G. Für a G mit order a = e und k Z gilt: a k = 1 e k Algorithmus zum Finden von g G Benötigt: n = G, Primfaktorzerlegung Wahl eines zufälligen Elements a G Für i = 1, 2, k: b a n p i e1 e2 n p1 p2... b = 1: a kein Generator, Wahl eines anderen Elements aus G p e k k Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen Problem für G = Z * p Algorithmus benötigt Primfaktorzerlegung von G Z * p = Φ(p) = p-1 Faktorisierung schwierig Algorithmus für spezielle Primzahlen: sichere Primzahl: p = 2q + 1, q prim Algorithmus zum Finden von g Z * p für sichere Primzahl p mit k Bit Wahl einer Primzahl q mit k-1 Bit Test, ob p = 2q + 1 prim Suche nach Generator g mit vorherigem Algorithmus Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen Operationen in n Addition, Subtraktion und Multiplikation leicht Berechnung von y = a x mod n ebenfalls effizient möglich: Square-and-Multiply-Algorithmus Binärdarstellung des Exponenten: x 10 = (x l-1 x l-2 x 1 x 0 ) 2 z = 1; for (i = l-1; i 0; i--) { z = z 2 ; if (x i == 1) then z = zamod n; } Kryptographie und Kryptoanalyse

12 5 Asymmetrische Verfahren Grundlagen Diskreter Logarithmus Für jede Zahl y Z p * gibt es einen Exponenten x mit 0 x p-2, so dass gilt: y = g x mod p. Der Exponent x wird diskreter Logarithmus von y zur Basis g modulo p genannt: x = log g y mod p Bestimmen von x: Diskreter-Logarithmus-Problem kein Algorithmus zur effizienten Berechnung des diskreten Logarithmus bekannt besser als Durchprobieren: Babystep-Giantstep-Algorithmus von Shanks, aber ebenfalls nicht praktikabel für größere Gruppen (ca. ab G > ): weniger Operationen, aber mehr Speicherplatz benötigt Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen Beispiel: Diskreter Logarithmus für p = 229, g = 6 y = log 6 x mod x Kryptographie und Kryptoanalyse Asymmetrische Verfahren Grundlagen Berechnung des diskreten Logarithmus mit dem Babystep-Giantstep-Algorithmus: x = log g y mod p m = G, G : Ordnung der Gruppe Ansatz: x = q m + r, 0 r < m Algorithmus berechnet q und r y = g x y = g q m + r (g m ) q = yg -r Babystep-Liste: B = {(i, y (g i ) -1 mod p), 0 i < m} Giantstep-Liste: G = {(j, (g m ) j mod p), 0 j < m} r q Berechnung der Elemente von G, bis (g m ) j als zweite Komponente eines Elements in B gefunden. Kryptographie und Kryptoanalyse

13 5 Asymmetrische Verfahren Grundlagen Weitere Algorithmen zur Ermittlung des diskreten Logarithmus sind z.b.: Pollard- -Algorithmus (begrenzter Speicheraufwand) Pohlig-Hellman-Algorithmus (falls p-1 kleine Primteiler hat) Index-Calculus-Algorithmus (effizientester Algorithmus, für prime Restklassengruppe modulo einer Primzahl) Möglichkeiten zur Berechnung des diskreten Logarithmus sind bei der Wahl der Parameter für entsprechende kryptographische Verfahren zu beachten! Kryptographie und Kryptoanalyse Asymmetrische Verfahren DH-Schlüsselaustausch Diffie-Hellman-Schlüsselaustausch Öffentlich bekannt: Primzahl p, Generator g Teilnehmer A wählt x A mit 0 x A p-2 (x A geheim) unsicherer Kanal p, g p, g Teilnehmer B wählt x B mit 0 x B p-2 (x B geheim) berechnet y A = g x A mod p y A berechnet y B = g x B mod p y B x k A,B = y A B mod p enc (k A,B, m) x k A,B = y B A mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren DH-Schlüsselaustausch Sicherheit des Diffie-Hellman-Schlüsselaustauschs Diffie-Hellman-Problem: Geg.: p, g, y A = g x A mod p und y B = g x B mod p Problem: bestimme g x A x Bmod p Angreifer beobachtet y A, y B, kann er x A = log g y A mod p oder x B = log g y B mod p berechnen, kann er das Geheimnis k AB = g x A x Bmod p ermitteln. sicher gegen passive Angriffe aber: unsicher gegen aktive Angriffe Kryptographie und Kryptoanalyse

14 5 Asymmetrische Verfahren DH-Schlüsselaustausch Aktiver Angriff (Man-in-the-Middle-Angriff) C gibt sich gegenüber A als B und gegenüber B als A aus. Teilnehmer A Kanal Angreifer C Kanal Teilnehmer B p, g p, g p, g wählt x A y A = g x A mod p y A wählt x C y C = g x Cmod p wählt x B y B = g x B mod p y C y B y C x k A,C = y A C mod p enc (k A,C, m) x k A,C = y C A mod p x k B,C = y C B mod p enc (k B,C, m) x k B,C = y B C mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren DH-Schlüsselaustausch Abhilfe: Vertrauenswürdige Instanz Teilnehmer A p, g Vertrauenswürdige Instanz y A, y B, y C Teilnehmer B p, g wählt x A y A = g x A mod p 1. wählt x B y B = g x Bmod p k AB = y x A B mod p enc (k A,B, m) x k AB = y B A mod p Angreifer C p, g wählt x C y C = g x C mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem ElGamal-Kryptosystem Taher ElGamal: A Public-Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms. CRYPTO 84, Springer-Verlag, / IEEE Transactions on Information Theory, v. 31, n. 4, 1985, Basiert auf Problem des diskreten Logarithmus Verwendung als Konzelations- und Signatursystem Verschiedene Varianten des ElGamal-Signatursystems bekannt; Digital Signature Algorithm (DSA) basiert auf einer dieser Varianten, DSA als Digital Signature Standard (DSS) vom NIST 1994 publiziert (FIPS186) Kryptographie und Kryptoanalyse

15 5 Asymmetrische Verfahren ElGamal-Kryptosystem ElGamal als Konzelationssystem Schlüsselgenerierung Jeder Teilnehmer wählt Primzahl p und Generator g Z * p wählt zufällige Zahl k d mit 0 k d p-2 berechnet k e = g k d mod p Öffentlicher Schlüssel: (p, g, k e ) Privater Schlüssel: k d Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Verschlüsselung (B A) Verschlüsselung von Nachrichten m Z p, d.h., m {0, 1,, p-1} (ggf. Aufteilung größerer Nachrichten) B benötigt öffentlichen Schlüssel von A: (p, g, k e ) wählt Zufallszahl r mit 0 r p-2 berechnet c = (c 1, c 2 ) mit c 1 = g r mod p c 2 = mke r mod p sendetc = (c 1, c 2 ) an A Entschlüsselung p-1-k -1 d k d A berechnet m = c 1 c 2 mod p bzw. m = (c 1 ) c 2 mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Anmerkungen Systemweit gültige Parameter p, g möglich Benutzung des zufälligen Parameters r ergibt indeterministische Verschlüsselung Sicherheit Sicherheit basiert auf Diffie-Hellman-Problem Wahl sicherer Parameter - Berechnung des DL schwierig: Länge von p Anforderungen an p aufgrund spezieller Algorithmen sichere Verwendung: Nutzung verschiedener Zufallszahlen r für Verschlüsselung verschiedener Nachrichten Gewählter Schlüsseltext-Klartext-Angriff möglich Angriff vereiteln Kryptographie und Kryptoanalyse

16 5 Asymmetrische Verfahren ElGamal-Kryptosystem Verwendung verschiedener Zufallszahlen Verschlüsselung zweier verschiedener Nachrichten m 1, m 2 mit derselben Zufallszahl r ist eine der Nachrichten bekannt, kann die zweite berechnet werden: m 1 : c 1 = (c 1,1, c 1,2 ) m 2 : c 2 = (c 2,1, c 2,2 ) c 1,1 = c 2,1 = g r mod p c 1,2 c 2,2 : c 1,2 = m 1 ke r mod p c 2,2 = m 2 ke r mod p -1-1 m 1 bekannt: c 1,2 c 2,2 = m 1 m 2 mod p -1 m 2 = m 1 c 1,2 c 2,2 mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Gewählter Schlüsseltext-Klartext-Angriff Ziel: Ermittlung von m aus beobachtetem c = (c 1, c 2 ) Angreifer sendet c = (c 1, c 2 ) an Empfänger (c 2 beliebig) Empfänger -k entschlüsselt: m = c d 1 c 2 mod p Angreifer k berechnet: c d 1 = c 2 (m ) -1 mod p -k entschlüsselt: m = c d 1 c 2 mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Vereitelung des gewählten Schlüsseltext-Klartext-Angriffs Einfügen von Redundanz vor der Verschlüsselung, z.b. mittels einer Hashfunktion h(): m * = m, h(m) c 1 = g r mod p c 2 = m * ke r mod p Überprüfung der Redundanz beim Empfänger: Entschlüsselung liefert m * = m, x Nachricht wird nur ausgegeben, wenn x = h(m) Anmerkung: Verwendung unterschiedlicher Zufallszahlen ( unterschiedliche c 1 ) reicht nicht: c 1 kann unkenntlich gemacht werden Kryptographie und Kryptoanalyse

17 5 Asymmetrische Verfahren ElGamal-Kryptosystem ElGamal als Signatursystem Schlüsselgenerierung Wie beim Konzelationssystem jeder Teilnehmer wählt Primzahl p und Generator g Z * p wählt zufällige Zahl k s mit 0 k s p-2 berechnet k t = g k s mod p Öffentlicher Schlüssel: (p, g, k t ) Privater Schlüssel: k s Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Signieren Signieren von Nachrichten m Z p, d.h., m {0, 1,, p-1} (ggf. Aufteilung größerer Nachrichten oder Anwendung einer Hashfunktion h(m) mit h(m) < p) A führt die folgenden Schritte aus: wählt Zufallszahl r Z * p-1 berechnet r -1 mit r r -1 1 mod (p-1) berechnet s = (s 1, s 2 ) mit s 1 = g r mod p s 2 = r -1 (h(m) - k s s 1 ) mod (p-1) sendetm, (s 1, s 2 ) Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Test der Signatur Teilnehmer benötigt öffentlichen Schlüssel von A: (p, g, k t ) testet, ob 1 s 1 p-1 s 1 s 2 berechnet v 1 = k t s 1 mod p berechnet h(m) und v 2 = g h(m) mod p akzeptiert Signatur, wenn v 1 ª v 2 Sicherheit Sicherheit basiert auf Diffie-Hellman-Problem Wahl sicherer Parameter: p (Berechnen DL schwierig) sichere Verwendung: Nutzung verschiedener Zufallszahlen r zum Signieren verschiedener Nachrichten Verwendung einer Hashfunktion (sonst existentielles Brechen) Kryptographie und Kryptoanalyse

18 5 Asymmetrische Verfahren ElGamal-Kryptosystem Verwendung verschiedener Zufallszahlen Signatur für zwei verschiedene Nachrichten m 1, m 2 mit derselben Zufallszahl r berechnen Ermittlung des geheimen Signaturschlüssels k s : m 1 : s 1 = (s 1,1, s 1,2 ) m 2 : s 2 = (s 2,1, s 2,2 ) s 1,1 = s 2,1 = g r mod p s 1,2 s 2,2 : s 1,2 = r -1 (h(m 1 ) - k s s 1,1 ) mod (p-1) s 2,2 = r -1 (h(m 2 ) - k s s 2,1 ) mod (p-1) s 1,2 - s 2,2 = r -1 (h(m 1 ) - h(m 2 )) mod (p-1) falls s 1,2 - s 2,2 0 mod (p-1) und ggt(s 1,2 - s 2,2, p-1) = 1: r = (s 1,2 - s 2,2 ) -1 (h(m 1 ) - h(m 2 )) mod (p-1) -1 k s = s 1,1 (h(m 1 ) s 1,2 r) mod (p-1) Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Existentielles Brechen nachrichtenbezogenes Brechen für irgendeine Nachricht m Verifikationskongruenz (ohne Hashfunktion): s 1 s 2 m k t s 1 g mod p v Ersetzen: s 1 = g u k t mod p mit u, v Z, ggt(v, p-1) = 1 s 1 + v s 2 m - u s k 2 t g mod p Exponenten = 0 ermöglicht das Bestimmen von s 2 und m: linke Seite: rechte Seite: s 2 = - s 1 v -1 mod (p-1) m = s 2 u mod (p-1) Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal-Kryptosystem Durchführung: Wahl von u, v Z mit ggt(v, p-1) = 1 Berechnen von s 1, s 2 und m Damit gilt: s k 1 s t 2 s 1 1 s 2 u -s 1 kt g k t g m mod p (s 1, s 2 ) ist gültige Signatur für m = s 2 u mod (p-1) Verwendung einer Hashfunktion: nur Signaturen für h(m) berechenbar Kryptographie und Kryptoanalyse

19 5 Asymmetrische Verfahren ElGamal-Kryptosystem Varianten des ElGamal-Verfahrens Effizientere Verfahren (kürzere Signaturen): Signatursystem nach Schnorr (1989) Digital Signature Algorithm (DSA) 1991 vom NIST vorgeschlagen 1994 zum Standard erklärt (DSS, FIPS 186) Sicherheit gegen adaptive Angriffe: Cramer, Shoup (1998) Konzelationssystem (adaptive chosen-plaintext attack) Pointcheval, Stern (1998) Signatursystem (adaptive chosen-ciphertext attack) Verallgemeinerung des Verfahrens Realisierung in beliebigen zyklischen Gruppen möglich (Bedingung: DH-Problem schwer), z.b. Punktgruppe einer elliptischen Kurve über einem endlichen Körper Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal / DSA Digital Signature Algorithm (DSA) Öffentliche Parameter Primzahl q mit < q < Primzahl p mit q (p-1), 2 L-1 < p < 2 L, 512 L 1024 und L = t ÿ64 Element g Z * p mit order g = q Jeder Teilnehmer wählt zufällig k s mit 0 < k s < q berechnet k t = g k s mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ElGamal / DSA Signieren A führt die folgenden Schritte aus: wählt Zufallszahl r Z * q berechnet r -1 mit r r -1 1 mod q berechnet s = (s 1, s 2 ) mit s 1 = (g r mod p) mod q s 2 = r -1 (h(m) + k s s 1 ) mod q sendetm, (s 1, s 2 ) Kryptographie und Kryptoanalyse

20 5 Asymmetrische Verfahren ElGamal / DSA Test der Signatur Teilnehmer benötigt öffentlichen Schlüssel von A: (p, q, g, k t ) testet, ob 1 s 1 q-1 und 1 s 2 q-1 berechnet v 1 = h(m) s -1 2 mod q v 2 = s 1 s -1 2 mod q akzeptiert Signatur, wenn (g k t mod p) mod q ª s 1 v 1 v 2 Berechnungen in einer Untergruppe von Z * p der Ordnung q durchgeführt kürzere Signaturen Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem RSA-Kryptosystem Ronald L. Rivest, Adi Shamir, Leonhard M. Adleman: A Method for Obtaining Digital Signatures and Public-Key Cryptosystems. Communications of the ACM, vol. 21, no. 2, 1978, Basiert auf der Faktorisierungsannahme (bislang jedoch kein Beweis) Verwendung als Konzelations- und Signatursystem Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Mathematische Grundlagen Berechnung von n = pq leicht, aber Faktorisierung von n schwer Faktorisierungsalgorithmen Spezielle Algorithmen: Anforderungen an die Faktoren von n Allgemeine Algorithmen: hängen nur von der Größe von n ab Beispiele für spezielle Algorithmen: Faktorisierung nach Fermat (1643) n ungerade, p, q n Zerlegung n = x 2 y 2 = (x+y)(x y) Start mit x n Berechnung von x 2 n, (x+1) 2 n, (x+2) 2 n, bis Ergebnis eine Quadratzahl ist (y 2 = x 2 n) Faktoren von n: p = x + y, q = x - y Kryptographie und Kryptoanalyse

21 5 Asymmetrische Verfahren RSA-Kryptosystem Pollard (p-1)-methode (1974) n hat Primfaktor p, für den p-1 nur kleine Primfaktoren hat ( glatt bzgl. einer Schranke B) Ermitteln eines Vielfachen k von p-1 ohne Kenntnis von p Es gilt: a k 1 mod p (k = l(p - 1), ggt(a, p) = 1) p a k 1 n F a k 1 d = ggt(a k 1, n) echter Teiler von n (1 < d < n) Kandidaten für k: Produkte aller Primzahlpotenzen B Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Beispiele für allgemeine Algorithmen: Quadratisches Sieb (Pomerance, 1981) Zahlkörpersieb (Anfang der 1990er Jahre) Grundlage beider Verfahren: Bestimme x, y Z, so dass gilt: Dann gilt: x 2 y 2 mod n x T ±y mod n n x 2 y 2 = (x y)(x + y) n F (x y) n F (x + y) ggt(x y, n) und ggt(x + y, n) sind Teiler von n Quadratisches Sieb für Faktorisierung von Zahlen bis ca. 110 Dezimalstellen schnellster Algorithmus Weiteres zur Faktorisierung: (RSA Factoring Challenge, bis 2007 aktualisiert) Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Spezialfall des Chinesischen Restsatzes: für n = p q gilt a b mod n a b mod p a b mod q d.h.: n (a-b) p (a-b) q (a-b) Effiziente Berechnung von f(x) mod n mit Hilfe der Kenntnis von p, q möglich (y p = f(x) mod p, y q = f(x) mod q): y f(x) mod n y y p mod p y y q mod q Chinesischer Restealgorithmus (CRA): 1. bestimme u, v mit u p + v q = 1 (mittels EEA) 2. y = CRA(y p, y q ) = u p y q + v q y p mod n Kryptographie und Kryptoanalyse

22 5 Asymmetrische Verfahren RSA-Kryptosystem Schlüsselgenerierung (Konzelationssystem) Jeder Teilnehmer wählt zufällig und unabhängig 2 verschiedene Primzahlen p, q ungefähr gleicher Länge berechnet n = pq wählt zufällige Zahl k e mit 1 < k e < (n), ggt(k e, (n)) = 1-1 berechnet k d = k e mod (n) Öffentlicher Schlüssel: (n, k e ) Geheimer Schlüssel: (p, q, k d ) Signatursystem: k s statt k d und k t statt k e Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem RSA als Konzelationssystem (unsichere Variante) Teilnehmer A Schlüsselgenerierung öffentlich: n, k e privat: p, q, k d unsicherer Kanal Teilnehmer B bekannt: n, k e Entschlüsselung m = c k d mod n c Verschlüsselung c = m k e mod n (m < n) k k e d ke kd Nachzuweisen: m Ζn : m m m mod n Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem RSA als Signatursystem (unsichere Variante) Teilnehmer A Schlüsselgenerierung öffentlich: n, k t privat: p, q, k s unsicherer Kanal Teilnehmer B bekannt: n, k t Signieren s = m k smod n (m < n) m, s Testen m = s k t mod n? Kryptographie und Kryptoanalyse

23 5 Asymmetrische Verfahren RSA-Kryptosystem Effiziente Berechnung der Entschlüsselung mit Hilfe der Kenntnis von p und q Statt Berechnung von f(x) mod n: Berechnung von y p mod p und y q mod q und CRA(y p, y q ) Einmal zu berechnen: -1 k k e k d,p = k e mod (p-1) (c d,p ) c mod p -1 k k d,q = k e mod (q-1) (c d,q k e ) c mod q Entschlüsselung eines Schlüsseltextes c: k y p = c d,p mod p k y q = c d,q m = CRA(y p, y q ) mod q Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Sicherheit Parameterwahl Stand der Faktorisierung Länge der verwendeten Primzahlen Anforderungen an die Primzahlen aufgrund spezieller Algorithmen Angriff auf RSA als Konzelationssystem bei zu kleinem öffentlichen Schlüssel sichere Verwendung Verwendung unterschiedlicher Module für unterschiedliche Nutzer (Verhinderung der Common Modulus Attack ) Verhinderung passiver Angriffe durch indeterministische Verschlüsselung Verhinderung aktiver Angriffe durch Hinzufügen von Redundanz Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Wahl des öffentlichen Schlüssels (1) Bedingung: ggt(k e, (n)) = 1, aber frei wählbar Aus Effizienzgründen möglichst kurz, möglichst nur Nullen Möglicher Angriff auf RSA als Konzelationssystem für k e = 3: Ein Teilnehmer verschlüsselt Nachricht m für drei Teilnehmer mit k e = 3 und n 1 n 2 n 3 Angreifer beobachtet: c 1 = m k e mod n 1 = m 3 mod n 1 c 2 = m k e mod n 2 = m 3 mod n 2 c 3 = m k e mod n 3 = m 3 mod n 3 Kryptographie und Kryptoanalyse

24 5 Asymmetrische Verfahren RSA-Kryptosystem Wahl des öffentlichen Schlüssels (2) m 3 mod (n 1 n 2 n 3 ) = CRA(c 1, c 2, c 3 ) m 3 < n 1 n 2 n 3 m 3 mod (n 1 n 2 n 3 ) = m 3 Ermittlung von m: Ziehen der dritten Wurzel Allgemein: Angreifer müsste k e Verschlüsselungen derselben Nachricht beobachten Oftmals vorgeschlagen: Signatursystem: k t = 3 Konzelationssystem: k e = Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Passive Angriffe RSA arbeitet deterministisch Konzelationssystem Angreifer: probeweise Verschlüsselung von Klartextblöcken und Vergleich mit beobachteten Schlüsseltextblöcken Abhilfe: Hinzunahme einer Zufallszahl r indeterministische Verschlüsselung der Nachrichten ( Randomisierung, Padding ) c = (r, m) k e mod n PKCS #1 v 1.5 (verwendet in SSL v 3.0): 1998 von Bleichenbacher gebrochen (gewählter Schlüsseltext-Klartext- Angriff) PKCS #1 v 2.1 basierend auf OAEP (Optimal Asymmetric Encryption Padding, Bellare und Rogaway 1995) Details: Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Signatursystem Angreifer: Wahl einer Signatur, Berechnung der zugehörigen Nachricht mit m = s k t mod n Existentielles Brechen damit möglich Forderung: sinnvolle Texte dürfen sich nur mit sehr geringer Wahrscheinlichkeit ergeben Angriff wird zusätzlich erschwert durch Verwendung einer Hashfunktion (zur Verhinderung aktiver Angriffe) Kryptographie und Kryptoanalyse

25 5 Asymmetrische Verfahren RSA-Kryptosystem Aktive Angriffe (am Beispiel des Signatursystems) Grundlage: RSA ist Homomorphismus bzgl. Multiplikation Angreifer beobachtet Signaturen s 1, s 2 für Nachrichten m 1, m 2 berechnet Signatur s 3 = s 1 s 2 mod n für Nachricht m 3 = m 1 m 2 mod n (m 3 jedoch nicht frei wählbar) Aktiver Angriff von Davida (selektiv) Ziel: Signatur für gewählte Nachricht m 3 Angreifer -1 wählt m 1 und berechnet m 1 mod n -1 berechnet m 2 = m 3 m 1 mod n lässt m 1 und m 2 signieren erhält s 1, s 2 berechnet s 3 = s 1 s 2 mod n Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Verbesserter aktiver Angriff von Moore (selektiv) Ziel: Signatur für gewählte Nachricht m 2 Angreifer * wählt r Z n, berechnet r -1 mod n berechnet m 1 = m 2 r k t mod n lässt m 1 signieren erhält s 1 berechnet s 2 = s 1 r -1 mod n Anwendung der Angriffe auf RSA als Konzelationssystem möglich Kryptographie und Kryptoanalyse Asymmetrische Verfahren RSA-Kryptosystem Anmerkung: Blinde Signaturen mit RSA Ausnutzen des Angriffs von Moore Empfänger der Signatur möchte Text unterschreiben lassen, ohne dass der Signierer den Text erfährt Anwendung z.b. für digitale Zahlungssysteme Ziel: blinde Signatur für Nachricht m 2 Teilnehmer * wählt r Z n, berechnet r -1 mod n blendet m 2 durch Multiplikation mit r k t: m 1 = m 2 r k t mod n lässt m 1 signieren erhält s 1 berechnet s 2 = s 1 r -1 mod n Kryptographie und Kryptoanalyse

26 5 Asymmetrische Verfahren RSA-Kryptosystem Verhinderung der skizzierten Angriffe Konzelationssystem: Hinzunahme einer Zufallszahl r Hinzufügen von Redundanz, die nach der Entschlüsselung geprüft wird: Anwendung einer kollisionsresistenten Hashfunktion h() auf Nachricht und Zufallszahl: c = (r, m, h(r, m)) k c Signatursystem: Anwendung einer kollisionsresistenten Hashfunktion h() auf die Nachricht: s = (h(m)) k s Kryptographie und Kryptoanalyse Asymmetrische Verfahren Rabin-Kryptosystem Rabin-Kryptosystem Michael O. Rabin: Digitalized Signatures and Public-Key Functions as Intractable as Factorization. MIT/LCS/TR-212, MIT Laboratory for Computer Science, January Beweisbar sicher gegen reine Schlüsseltextangriffe, aber der Beweis liefert auch einen gewählten Schlüsseltext-Angriff Sichere Verwendung möglich, Verschlüsselung effizienter als bei RSA Verwendung als Konzelations- und Signatursystem Kryptographie und Kryptoanalyse Asymmetrische Verfahren Rabin-Kryptosystem Mathematische Grundlagen Quadratische Reste modulo p (QR p ): QR p = {x p y * p : y 2 * x mod p} x: quadratischer Rest, y: Wurzel aus x -y: ebenfalls Wurzel aus x Elemente x p, für die diese Kongruenz nicht lösbar ist, heißen quadratische * Nichtreste modulo p Für Primzahlen 2gibt es genau quadratische Reste: Kryptographie und Kryptoanalyse

27 5 Asymmetrische Verfahren Rabin-Kryptosystem Entscheidung, ob eine Zahl ein quadratischer Rest ist, liefert das Euler-Kriterium: QR, falls 1 mod (effizient berechenbar m.h. der Square-and-Multiply-Methode) Wurzelziehen für p 3 mod 4: y z p 1 4 mod p (für p 1 mod 4 gibt es keine Lösungsformel, aber einen effizienten Algorithmus) Kryptographie und Kryptoanalyse Asymmetrische Verfahren Rabin-Kryptosystem Quadratische Reste modulo, (QR n ) Laut Chinesischem Restsatz gilt: y 2 x mod n y 2 x mod p y 2 x mod q Lösbarkeit der quadratischen Kongruenzen modulo p und modulo q mittels Euler-Kriterium überprüfen Wurzeln modulo p ( ) und modulo q ( ) bestimmen CRA(, ) liefert die vier Wurzeln modulo n: CRA, mit mod und mod CRA, mit mod und mod CRA, mit mod und mod CRA, mit mod und mod Kryptographie und Kryptoanalyse Asymmetrische Verfahren Rabin-Kryptosystem Schlüsselgenerierung Jeder Teilnehmer wählt zufällig und unabhängig 2 verschiedene Primzahlen p, q mit 3 mod 4 (vereinfacht die Entschlüsselung) berechnet n = pq Öffentlicher Schlüssel: n Geheimer Schlüssel: p, q Verschlüsselung 0, 1,, : mod Entschlüsselung Empfänger bestimmt die vier Quadratwurzeln aus c Nachteil: unklar, welche Wurzel die Nachricht ist Kryptographie und Kryptoanalyse

28 5 Asymmetrische Verfahren Rabin-Kryptosystem Sicherheit Leicht zu zeigen: Wer faktorisieren kann, kann das Rabin- Kryptosystem brechen. Zu zeigen: Wer das Rabin-Kryptosystem brechen kann, kann faktorisieren. Annahme: Es gibt einen Algorithmus R, der das Rabin-Kryptosystem bricht R liefert zu jedem c eine Quadratwurzel m R c. Angreifer: wählt berechnet mod und m R c :neues m wählen, Angriff wiederholen : falls ggt, 1, liefert der ggt p oder q nach einem Durchlauf n mit Wahrscheinlichkeit ½ faktorisiert beweisbar sicher gegen diesen Angriff Kryptographie und Kryptoanalyse Asymmetrische Verfahren Rabin-Kryptosystem Begründung für Möglichkeit der Faktorisierung tatsächliche Nachricht m ist eine der vier Wurzeln CRA(, ) berechnetes m R c erfüllt eine der folgenden Bedingungen: (1) mod mod (2) mod mod (3) mod mod (4) mod mod damit gilt: (1) ggt, (2) ggt, p (3) ggt, q (4) ggt, 1 Kryptographie und Kryptoanalyse Asymmetrische Verfahren Rabin-Kryptosystem Genügt diese beweisbare Sicherheit? Betrachtet wurde nur ein passiver Angriff Aus dem Beweis lässt sich jedoch der folgende gewählte Schlüsseltext-Angriff herleiten: Angreifer: wählt berechnet mod lässt sich entschlüsseln Kann mit Wahrscheinlichkeit ½ faktorisieren! Einführen von Redundanz (SAEP) verhindert diesen aktiven Angriff und erlaubt die Bestimmung der tatsächlichen Nachricht unter den 4 Wurzeln Kryptographie und Kryptoanalyse

29 5 Asymmetrische Verfahren Rabin-Kryptosystem Sichere Verwendung des Rabin-Kryptosystems Dan Boneh: Simplified OAEP for the RSA and Rabin Functions. CRYPTO 2001, Springer, LNCS 2139, pp , SAEP: Rabin, SAEP+: Rabin, RSA Verfahren beschreiben das Hinzufügen von Redundanz vor der Verschlüsselung (Padding) H, G: Hashfunktionen Effizienz: Padding im Vergleich zu den kryptographischen Operationen vernachlässigbar Abbildung aus [Bone_01] Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Kryptosysteme auf Basis elliptischer Kurven Elliptic Curve Cryptography (ECC) V. Miller: Use of Elliptic Curves in Cryptography. Crypto 85, Springer, LNCS 218, , N. Koblitz: Elliptic Curve Cryptosystems. Mathematics of Computation, 48, , Grundlage: Auf elliptischen Kurven können (additive) abelsche Gruppen definiert werden, in denen das diskrete Logarithmus Problem (elliptic curve discrete logarithm problem, ECDLP) sehr schwer zu lösen ist (vermutlich schwerer als in multiplikativen Gruppen von Körpern gleicher Größe). Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Elliptische Kurven über Eine elliptische Kurve über den reellen Zahlen ist die Menge aller Punkte x, die eine kubische Gleichung der Form y 2 = x 3 + ax + b mit a, b erfüllen sowie der Punkt im Unendlichen O. Bedeutung für Kryptographie: nicht-singuläre elliptische Kurven Nullstellen des Polynoms dürfen nicht zusammenfallen Bedingung: Diskriminante 0, d.h.: 4a b 2 0 Kryptographie und Kryptoanalyse

30 5 Asymmetrische Verfahren ECC Beispiele für elliptische Kurven über den reellen Zahlen (1) y 2 = x 3-7x + 1 y 2 = x 3-8x (-7) = Diskriminante: 4 (-8) = 652 Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Beispiele für elliptische Kurven über den reellen Zahlen (2) y 2 = x 3-3x + 2 y 2 = x 3 4 (-3) = 0 Diskriminante: 4 (0) = 0 Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Definition einer (additiven) abelschen Gruppe Menge der Punkte, welche die Gleichung erfüllen sowie Punkt im Unendlichen O als neutrales Element Operation + auf dieser Menge: Addition von Punkten E sei eine elliptische Kurve; Punkte P, Q, R E Folgende Axiome gelten: Abgeschlossenheit: P + Q = R Assoziativität: (P + Q) + R = P + (Q + R) Neutrales Element: P + O = O + P = P Inverses Element : P + (-P) = O Kommutativität: P + R = R + P Kryptographie und Kryptoanalyse

31 5 Asymmetrische Verfahren ECC Punktaddition R = P + Q mit Q -P R Q P y 2 = x 3-7x + 0,5 R = P + Q Gerade durch P und Q legen Schnittpunkt der Geraden mit der Kurve ergibt R Spiegelung von R an der x-achse ergibt R = P + Q Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Punktaddition R = P + Q mit Q = -P P R = P + -P = O -P y 2 = x 3-7x + 0,5 Gerade durch P und P: Parallele zur y-achse Kein weiterer Schnittpunkt mit der Kurve Als Schnittpunkt definiert: O Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Punktaddition R = P + P =2P mit y P 0 P R y 2 = x 3-8x + 10 R = 2P Tangente im Punkt P Schnittpunkt der Tangente mit der Kurve ergibt R Spiegelung von R an der x-achse ergibt R = 2P Kryptographie und Kryptoanalyse

32 5 Asymmetrische Verfahren ECC Punktaddition R = P + P =2P mit y P = 0 R = 2 P = P + - P = O P y 2 = x 3-8x + 10 Tangente im Punkt P: Parallele zur y-achse Kein Schnittpunkt der Tangente mit der Kurve Sonderfall von R = P + -P: R = 2P = P + -P = O Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Berechnung der Koordinaten des Punktes R = (x R, y R ) P + Q = R mit P = (x P, y P ), Q = (x Q, y Q ); P Q Anstieg s der Geraden durch P und Q: s = (y Q y P )/(x Q x P ) x R = s 2 x P x Q y R = - y P + s(x P x R ) P + P = 2P = R mit P = (x P, y P ), y P 0 Anstieg s der Tangente am Punkt P : 2 s = (3x P + a)/(2y P ) x R = s 2 2x P y R = - y P + s(x P x R ) Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Elliptische Kurven über endlichen Körpern Für Kryptographie relevant Möglichkeiten: GF(p) oder GF(2 m ) E(p; a, b): y 2 = x 3 + ax + b mod p; a, b p, p > 3 Menge aller Punkte, die diese Gleichung erfüllen, sowie O Rechenoperationen äquivalent (nun jedoch mod p) additive abelsche Gruppe Bedingung wiederum: Nullstellen dürfen nicht zusammenfallen (4a b 2 mod p 0) Kryptographie und Kryptoanalyse

33 5 Asymmetrische Verfahren ECC Punkte der elliptischen Kurve E(p; a, b) Quadratische Reste QR: * * QR p = {x p y p : y 2 x mod p} x: quadratischer Rest, y: Wurzel aus x -y: ebenfalls Wurzel aus x Ermitteln der Punkte von E(p; a, b): Berechnung von z = x 3 + ax + b mod p für x p z = 0: (x,0) ist ein Punkt von E(p; a, b) z 0: Prüfen, ob es sich um einen quadratischen Rest handelt z QR p z = y 2 Wurzelziehen (x,y) und (x, -y) sind Punkte von E(p; a, b) z QR p keine Punkte von E(p; a, b) gefunden Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Prüfen, ob z QR p (p > 2) Legendre-Symbol: 0, falls z 0 mod p z 1, falls z QR p p -1, falls z QRp (z QNR p ) Euler-Kriterium: z z p p 1 2 mod p Wurzelziehen für p 3 mod 4: y z p 1 4 mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Beispiel: y 2 = x 3 + x + 6 mod 11 Diskriminante: mod 11 0 x z = x 3 + x + 6 mod 11 p+1 z p y 4 = z mod p , , , , , ,9 Punkte dieser elliptischen Kurve: {(2,4),(2,7), (3,5),(3,6), (5,2), (5,9), (7,2),(7,9), (8,3),(8,8), (10,2),(10,9), O} Kryptographie und Kryptoanalyse

34 5 Asymmetrische Verfahren ECC Beispiel: y 2 = x 3 + x + 6 mod 11 Punkte dieser elliptischen Kurve: {(2,4), (2,7), (3,5), (3,6), (5,2), (5,9), (7,2), (7,9), (8,3), (8,8), (10,2), (10,9), O} y x Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Operationen auf elliptischen Kurven E(p; a, b) Punktaddition, Punktverdopplung; nun mod p Berechnung des Vielfachen eines Punktes R = cp: Double-and-(Add or Subtract)-Algorithmus Darstellung des Faktors: i c c i 2, c i {-1, 0, 1} i 0 R = O; for (i = l-1; i 0; i--) { R = 2R; if (c i == 1) then R = R + P mod p; else if (c i == -1) then R = R - P mod p; } l 1 Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Effizienzverbesserung durch Darstellung des Exponenten in nichtadjazenter Form (NAF) es gibt keine zwei aufeinanderfolgenden Stellen 0 Überführen einer Binärdarstellung in NAF: von rechts beginnend ersetzen (0, 1, 1,, 1, 1) (1, 0, 0,, 0, -1) Darstellung in NAF enthält weniger Einsen weniger Additionen erforderlich Kryptographie und Kryptoanalyse

35 5 Asymmetrische Verfahren ECC Problem des diskreten Logarithmus auf elliptischen Kurven Durch einen Punkt P mit Ordnung n erzeugte additive zyklische Untergruppe von E(p; a, b): P = {O, P, 2P, 3P,, (n-1)p} Ordnung eines Punktes: order P = n; kleinste natürliche Zahl n mit np = O Gegeben seien eine elliptische Kurve E über GF(p), ein Punkt P E(p; a, b) sowie ein Punkt Q P. ECDLP: Bestimmung von d mit Q = dp. ECDLP Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Parameter für ECC Öffentlich bekannte Parameter: Primzahl p, Kurve E(p; a, b), Punkt P und Ordnung n von P Geheimer Schlüssel: k d mit 1 k d < n Öffentlicher Schlüssel: Q = k d P (= k e ) Relevant bzgl. Sicherheit: Ordnung E(p; a, b) der elliptischen Kurven (Punktanzahl) sowie Ordnung zufällig gewählter Punkte E(p; a, b) [1, 2p + 1] Theorem von Hasse: p p E(p; a, b) p p (Hasse-Intervall) Klassen schwacher Kurven vermeiden Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC ECDH: Protokoll für Schlüsselaustausch Basiert auf Diffie-Hellman-Schlüsselaustausch Öffentlich bekannte Parameter: Primzahl p, Kurve E(p; a, b), Punkt P, order P = n Teilnehmer A unsicherer Kanal Teilnehmer B p, E(p; a, b), P, n p, E(p; a, b), P, n wählt x A mit 1 x A n-1 wählt x B mit 1 x B n-1 (x A geheim) (x B geheim) berechnet Q A = x A P mod p Q A Q B Q B = x B P mod p k A,B = x A Q B mod p enc(k A,B, m) k A,B = x B Q A mod p Kryptographie und Kryptoanalyse

36 5 Asymmetrische Verfahren ECC ElGamal Verschlüsselung mit elliptischen Kurven Schlüsselgenerierung Als öffentliche Parameter gegeben: p, E(p; a, b) über p, P E(p; a, b), order P = n Jeder Teilnehmer wählt als seinen geheimen Dechiffrierschlüssel zufällige Zahl k d mit 1 k d n-1 berechnet als öffentlichen Schlüssel (k e ) einen Punkt Q auf E(p; a, b) mit Q = k d P mod p Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Verschlüsselung der Nachricht m (B A) B kennt öffentliche Parameter und Schlüssel Q von A stellt m als Punkt M E(p; a, b) dar wählt Zufallszahl r mit 1 r n-1 berechnet c 1 = rp mod p c 2 = M + rq mod p sendet c = (c 1, c 2 ) an A Entschlüsselung A berechnet M = c 2 k d c 1 mod p ermittelt m aus M Nachricht muss als Punkt der elliptischen Kurve dargestellt werden Expansionsfaktor ~4 Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC Relevanz von ECC Vorteil: geringere Schlüssellängen im Vergleich zu anderen kryptographischen Systemen Interessant für Einsatz in Umgebungen mit begrenzter Kapazität (Chipkarten, zusätzlich Punkt(de)kompression) Alternative zu RSA In verschiedenen Standards berücksichtigt, z.b. ANSI X9.62, FIPS 186-2, IEEE , ISO/IEC Beispiele: ECDSA (Elliptic Curve Digital Signature Algorithm) ECIES (Elliptic Curve Integrated Encryption Scheme) Kryptographie und Kryptoanalyse

37 5 Asymmetrische Verfahren ECC Reduktion des Speicherbedarfs für Punkte E(p; a,b): y 2 = x 3 + ax + b mod p (x,y) œ E, y 2 ª 0modp:(x,y 1 ), (x,y 2 ) œ E, y 2 ª - y 1 mod p Punkt-Kompression PK(x,y) E(p; a,b) \ {O} Z p μ Z 2 PK(x,y) = (x, y mod 2) Punkt-Dekompression PD(x,i) z = x 3 + ax + b mod p y = z mod p if (y ª i mod 2) then PD(x,i) = (x,y) else PD(x,i) = (x,-y) Kryptographie und Kryptoanalyse Asymmetrische Verfahren ECC ECIES (vereinfacht, nur Verschlüsselung) Öffentlich bekannte Parameter: Primzahl p, Kurve E(p; a, b), Punkt P und Ordnung n von P Geheimer Schlüssel: k d mit 1 k d < n Öffentlicher Schlüssel: Q = k d P Verschlüsselung von m œ Z p * Sender wählt Zufallszahl r mit 1 r n-1 berechnet c 1 = PK(rP mod p) c 2 = m x 0 mod p mit (x 0, y 0 ) = r Q mod p, x 0 0 Entschlüsselung PD(c 1 ) = rp mod p (x 0, y 0 ) = k d rpmod p -1 m = c 2 x 0 mod p Kryptographie und Kryptoanalyse