Signieren mit symmetrischen Schlüsseln

Transkript

1 Signieren mit symmetrischen Schlüsseln Gegeben sei ein symmetrisches Verschlüsselungsverfahren wie AES256, und Sender A und Empfänger B haben beiden den Schlüssel. Die einfachste Idee für eine Absicherung einer Nachricht N gegen Manipulation ist die folgende: 1. Die abzusicherende N wird vom Sender mit dem Schlüssel zu S verschlüsselt und an den Empfänger geschict. Weil es hier nicht auf die Geheimhaltung anommt, ann man auch gleich <N,S> zusammen schicen. A <N,S> B B prüft beim Empfang die mitgeschicte Signatur S, ob sie die Verschlüsselung der Nachricht N ist. Nur wenn das der Fall, azeptiert er N als Nachricht von A. S ist eine Signatur für die Nachricht N, in dem Sinne, dass ein Dritter M die Nachricht <N,S> nicht in eine <N',S'> umwandeln ann, die von B azeptiert werden wird, denn M wird nicht in der Lage sein, die orrete Verschlüsselung S' von seiner abgewandelten Nachricht N' zu produzieren, selbst wenn N und N' sich nur ein bit unterscheiden. Eine von ihm geschicte Nachricht <N',S''> mit einem geratenen S'' wird also nicht azeptiert werden.

2 Kürzere Signaturen Wir bleiben vorerst bei dem symmetrischen Verschlüsselungsverfahren. Eine offensichliche Verbesserung bei einer langen Nachricht N besteht darin, dass nicht die gesamte Verschlüsselung S mitgeschict wird, sondern dass mit feedbac Modus (CBC) verschlüsselt wird und nur der letzte verschlüsselte Bloc b mit der Nachricht verschict wird. Die Verbesserung besteht darin, dass die Gesamtnachricht ürzer ist. A <N,b> B B prüft beim Empfang die mitgeschicte Signatur b dahingehend, ob b der letzte Bloc der Verschlüsselung der Nachricht N ist. Tatsächlich handelt es sich auch hier um eine Signatur, d.h. eine effetive Absicherung der Nachricht N gegenüber Manipulation durch einen Dritten M, denn der letzte Bloc der CBC Verschlüsselung ist von jedem bit in N abhängig: wenn M auch nur ein bit an N ändert, wird sich ein ganz anderer letzter Bloc ergeben und dieser ann von M auch nicht errechnet werden, denn er hat den Schlüssel nicht. Das Beispiel macht lar, dass es unwichtig ist, dass es sich um eine Verschlüsselung handelt, denn es soll ja gar nicht entschlüsselt werden, sondern es soll nur die Nachricht abgesichert werden. Was wir also eigentlich brauchen ist ein Funtion, die Wörter auf urze Wörter abbildet, und dabei nur schwer zurücrechenbar ist, d.h. insbesondere äußerst sensibel auf leine Änderungen in der Eingabe reagiert. Solche Funtionen nennt man Hashfuntionen. Die AES-Verschlüsselung mit feedbac Modus (und den Schlüssel als Teil der Eingabe gesehen) ist ein solches Beispiel, allerdings önnte AES mehr Rechenressourcen verbrauchen als nötig ist deshalb gibt es speziell entwicelte Hashfuntionen.

3 Hashfuntionen Eine ryptologische Hashfuntion bildet beliebig lange Wörter auf Wörter einer bestimmten Länge ab. Dabei vermischt sie möglichst gut die Eingabe, d.h. Wörter, die sich nur wenig oder nur ein bit unterscheiden, werden auf ganz verschiedene Wörter abgebildet. Auch soll die Hashfuntion nur schwer rücrechenbar sein, d.h. idealerweise ann man einen Urwert u eines Hashwerts h(u) nur so errechnen, indem man systematisch alle existierenden Wörter w daraufhin testet, ob h(w) = h(u). Eine Hashfuntion hatten wir schon ennengelernt: AES im CBC Modus mit dem letzten Bloc als Hashwert (Schlüssel fest). Die Länge der Hashwerte ist also 128. Es wurden schon viele Hashfuntionen entwicelt, nicht nur für ryptologische Zwece. Kryptologische Hashfuntionen sind beispielsweise MD5, SHA, Tiger, und viele andere.

4 Kollisionsresistenz Hashfuntion h Einwegfuntions-Eigenschaft: Es ist pratisch unmöglich, zu einem gegebenen Ausgabewert einen Eingabewert zu finden, der auf diesen Ausgabewert abgebildet wird. Schwache Kollisionsresistenz: es ist pratisch unmöglich, für einen gegebenen Eingabewert einen davon verschiedenen zu finden, der denselben Hashwert ergibt. Stare Kollisionsresistenz: es ist pratisch unmöglich, zwei verschiedene Eingabewerte und zu finden, die denselben Hashwert ergeben. star ollisionsresistent star ollisionsresistent

5 SHA1 Hashfuntion SHA1 bildet jeden bitstring (bis Länge 2 64 ) auf einen 160 bit langen bitstring ab. Rechts der Pseudocode (Quelle Wiipedia) Motto: wildes iteriertes Shiften, XORen und Addieren (genau das sollte man von einem Hash- Algorithmus erwarten) // Initialisiere die Variablen: var int h0 := 0x var int h1 := 0xEFCDAB89 var int h2 := 0x98BADCFE var int h3 := 0x var int h4 := 0xC3D2E1F0 // Vorbereitung der Nachricht 'message': var int message_laenge := bit_length(message) erweitere message um bit "1" erweitere message um bits "0" bis Länge von message in bits 448 (mod 512) erweitere message um message_laenge als 64-Bit big-endian Integer // Verarbeite die Nachricht in aufeinander folgenden 512-Bit-Blöcen: für alle 512-Bit Bloc von message unterteile Bloc in bit big-endian Worte w(i), 0 i 15 // Erweitere die Bit-Worte auf Bit-Worte: für alle i von 16 bis 79 w(i) := (w(i-3) xor w(i-8) xor w(i-14) xor w(i-16)) leftrotate 1 // Initialisiere den Hash-Wert für diesen Bloc: var int a := h0 var int b := h1 var int c := h2 var int d := h3 var int e := h4 // Hauptschleife: für alle i von 0 bis 79 wenn 0 i 19 dann f := (b and c) or ((not b) and d) := 0x5A sonst wenn 20 i 39 dann f := b xor c xor d := 0x6ED9EBA1 sonst wenn 40 i 59 dann f := (b and c) or (b and d) or (c and d) := 0x8F1BBCDC sonst wenn 60 i 79 dann f := b xor c xor d := 0xCA62C1D6 wenn_ende temp := (a leftrotate 5) + f + e + + w(i) e := d d := c c := b leftrotate 30 b := a a := temp // Addiere den Hash-Wert des Blocs zur Summe der vorherigen Hashes: h0 := h0 + a h1 := h1 + b h2 := h2 + c h3 := h3 + d h4 := h4 + e digest = hash = h0 append h1 append h2 append h3 append h4 //(Darstellung als big-endian)

6 Signieren via Hashfuntion Sei h eine Hashfuntion. Gegeben sei ein Sender A und Empfänger B, die eine gemeinsames geheimes Wort ausgetauscht haben. wird auch hier oft Schlüssel genannt, auch wenn mit gar verschlüsselt werden wird. 1. Der Sender berechnet den Hashwert h = h(n) der Konatention von und der Nachricht N, und schict <N,h> an B. A <N,h> B B prüft beim Empfang die mitgeschicten Hashwert h dahingehend, ob h = h(n). Die Nachricht ann von Dritten pratisch nicht gefälscht werden. Etwas problematisch wird es, wenn der Hashwert von Menschen getippt werden muss und deshalb sowenige Stellen hat, dass er geraten werden önnte. Siehe das folgende Online Baning Beispiel.

7 Beispiel Online Baning mit Flacercode Die Ban hat dem Kunden eine Banarte geschict, die nicht nur die Software für die Hashfuntion h, sondern auch einen individuellen Schlüssel enthält. als Schlüssel für diesen Kunden ist bei der Ban gepeichert worden. N N N H H H Der Kunde füllt das Überweisungsformular am Bildschirm aus und drüct OK. Der Banserver beommt die Überweisungsdaten < ; ;50,00>. Die Transation soll jetzt bestätigt (=signiert) werden. Um Wiederholung zu verhindern fügt die Ban noch eine nonce n (Zufallswort) hinzu, so dass die zu signierende Nachricht lautet N = < ; ;50,00;n>. N wird über die Stationen Internet, Browser, Flacercode zum Flacercodegerät übertragen. Das Gerät zeigt die nichtnonce Teile der Nachricht nochmal an - zur Sicherheit, dass der Banunde genau diese Überweisung bestätigt. Anschließend wird N per Kontat zur Karte geschict. Dort wird N signiert, d.h. der Hashwert H = h(n) der Konatenation von und N wird berechnet und anschließend an das Flaccodegerät übertragen und dort angezeigt. Der Benutzer gibt den Hashwert in den PC ein, und der PC schict den Hashwert an den Banserver. Der Banserver überprüft den Hashwert, indem er ebenfalls h(n) berechnet. Nur wenn der gleiche Wert herausommt, wird die Überweisung zur Ausführung übergeben, ansonsten abgelehnt. Ein Trojaner auf dem PC ann zwar die zur Ban geschicten Überweisungsdaten, also die Nachricht N fälschen (beispielsweise 5000,00 Euro an ein anderes Konto bei einer anderen Ban), aber er ann nicht den Hashwert H' für die manipulierte Überweisung berechnen. Der Hashwert = Signatur wird beim Online Baning übrigens TAN genannt.

8 Nichtabstreitbare Signatur Bei dem, was bislang Signatur genannt wurde, fehlt eine wichtige Eigenschaft dessen, was man außerhalb der Kryptologie unter einer Unterschrift versteht: Der Empfänger B der Nachricht ann nachweisen, dass der Sender A die Nachricht gelesen und unterschrieben hat. Das ist bei den Verfahren, die bislang Signaturverfahren genannt wurden, also die Hashfuntion-basierten, nicht der Fall: der Empfänger B önnte eine Nachricht N generieren, selber den Hashwert h berechnen und dann behaupten, er hätte <N,h> vom Sender A beommen. Eine signierte Nachricht von A an B soll nicht-abstreitbar heißen, wenn B dem Sender A nachweisen ann, dass er A die Nachricht signiert und verschict hat. Interessant ist diese Eigenschaft weniger beim Online Baning, aber z.b. bei Nachrichten/ Verfahren, und bei Online Veräufen, und allgemeiner, bei online abgeschlossenen Verträgen. Kann es nicht-abstreitbare Signaturen geben? Wie soll das gehen? Bemerung. Manche nennen das, was hier Signatur genannt wurde, gar nicht Signatur, wegen der fehlenden Nichtabstreitbareit-Eigenschaft, sondern nennen es nur MAC (message authentication code), oder schwache Signatur.

9 Public-Key Signierung A hat ein public-ey Schlüsselpaar erzeugt. A schict eine Nachricht N an B, indem er sie mit seinem private-ey zu e(n) verschlüsselt und an B schict, ggfs. mit N zusammen. pri A <N,e(N)> B pub B beommt die Nachricht und entschlüsselt e(n) mit dem public-ey von A. Wenn das N ergibt, azeptiert er. Erstens ist das eine Signatur von N, denn für eine abgeänderte Nachricht N' bräuchte M den private-ey von A, um sie so zu verschlüsseln, dass die Entschlüsselung mit dem publicey N' ergibt. Zweitens ist die Signatur nicht-abstreitbar, denn niemand anders als A ann eine sinnvolle Nachricht N so verschlüsseln, dass der public-ey von A es zu N entschlüsselt. Das auf RSA basierende Signierungs-Verfahren heisst RSA-PSS, das auf Diffie/Hellman/ElGamal aufbauende DSA (Digital Signature Algorithm), und das auf Elliptischen Kurven aufbauende ECDSA.