Vorlesung Datensicherheit. Sommersemester 2010

Transkript

1 Vorlesung Datensicherheit Sommersemester 2010 Harald Baier Kapitel 3: Hashfunktionen und asymmetrische Verfahren

2 Inhalt Hashfunktionen Asymmetrische kryptographische Verfahren Harald Baier Datensicherheit h_da SS 10 2

3 Inhalt Hashfunktionen Asymmetrische kryptographische Verfahren Harald Baier Datensicherheit h_da SS 10 3

4 Kryptographische Hashfunktionen Idee: Bilde Bitstring beliebiger Länge auf Bitstring fester Länge ab Mathematisch: H : {0,1}* {0,1} n Interpretation: Hashwert ist 'Fingerabdruck' (fingerprint) einer beliebig langen Datei Anwendungen: Asymmetrische elektronische Signaturen Nicht das Dokument m, sondern H(m) wird signiert Sicherheits- und Effizienzgründe Forensik: Nachweis der Unverändertheit eines Datenträgers Wie? Harald Baier Datensicherheit h_da SS 10 4

5 Gängige Realisierungen: Die MD4-Familie Gängige, aber unsichere Hashverfahren: MD4 128 Bit Hashwert MD5 128 Bit Hashwert SHA-1??? 160 Bit Hashwert Gängige und sichere Hashverfahren (u.a. vom Bundesamt für Sicherheit in der Informationstechnik empfohlen): RIPEMD-160, -256, , 256, 320 Bit Hashwert SHA-256, -384, , 384, 512 Bit Hashwert Zur Zeit läuft weltweite Standardisierung für SHA-3 Ein Favorit: Skein Harald Baier Datensicherheit h_da SS 10 5

6 Anforderungen an kryptographische Hashfunktionen Preimage Resistance: Praktisch unmöglich, zu gegebenem Hashwert H ein Dokument m vorzuweisen mit H = H(m) Collision Resistance: Praktisch unmöglich, zwei Dokumente m m' vorzuweisen mit H(m) = H(m') Oft auch stark kollisionsresistent genannt Second Preimage Resistance: Praktisch unmöglich, zu gegebenem Dokument m ein zweites Dokument m' vorzuweisen mit m m' und H(m) = H(m') Oft auch schwach kollisionsresistent genannt Harald Baier Datensicherheit h_da SS 10 6

7 Eigenschaften und Beispiele Kleine Änderung der Eingabe: Unvorhersagbare Änderung der Ausgabe Neue Ausgabe wirkt pseudo-zufällig Hashwerte vor und nach einer Vertragsänderung: MD5 SHA-1 SHA-512 Harald Baier Datensicherheit h_da SS 10 7

8 Inhalt Hashfunktionen Asymmetrische kryptographische Verfahren Harald Baier Datensicherheit h_da SS 10 8

9 Warum Public-Key-Kryptographie? Schlüsselaustauschproblem Harald Baier Datensicherheit h_da SS 10 9

10 Eine Lösung: n geheime Schlüssel Key-Server Key-Server kennt alle geheimen Schlüssel! Harald Baier Datensicherheit h_da SS 10 10

11 Wiederholung: Asymmetrische Verschlüsselung Klartext oder Plaintext Geheimtext oder Chiffretext Klartext oder Plaintext Angebot verschlüsseln entschlüsseln Angebot Verschlüsselungsschlüssel e Entschlüsselungsschlüssel d Alice öffentlich: Public Key geheim: Private Key Bob asymmetrisch Harald Baier Datensicherheit h_da SS 10 11

12 Schlüsselaustauschproblem gelöst! Public-Key-Server Server kennt keine geheimen Informationen! Harald Baier Datensicherheit h_da SS 10 12

13 Idee für Public-Key-Kryptographie Whitfield Diffie (*1944) Martin Hellman (*1946) Ralph Merkle Abstraktes Konzept der asymmetrischen Verschlüsselung Schlüsselaustausch in F p 1976: New directions in cryptography Harald Baier Datensicherheit h_da SS 10 13

14 RSA Ron Rivest Adi Shamir Leonard Adleman Ideen Ideen Review April 1977: Faktorisierungsproblem (zunächst ARS, dann RSA) 1978: A method for obtaining digital signatures and public key cryptosystems Harald Baier Datensicherheit h_da SS 10 14

15 Trapdoor-One-Way-Functions Zur Realisierung von Public-Key-Verfahren benötigt man ein mathematisches Problem mit: Eine Richtung ist einfach. Umkehrung ist ohne Spezialwissen schwer. Trapdoor-One-Way-Function: Ohne Spezialwissen ist Falltür offen (man fällt hinein). Mit Spezialwissen (= privater Schlüssel) bleibt sie zu. Suche nach geeigneten Funktionen schwer Heute nur zwei Klassen verbreitet: Multiplikation vs. Faktorisierung Exponentiation vs. diskreter Logarithmus Harald Baier Datensicherheit h_da SS 10 15

16 Probleme für Public-Key-Verschlüsselung Faktorisierungsproblem (IFP): Gegeben: Produkt zweier Primzahlen n = p q Gesucht: p, q Beispiel: RSA (im Mai 2005 von Uni Bonn, CWI u. BSI faktorisiert) = * Harald Baier Datensicherheit h_da SS 10 16

17 Aktueller RSA-Faktorisierungsrekord Example: RSA Factorisation startet in August 2007 and ended on December 12, 2009 Partners: EPFL, NTT, Uni Bonn, INRIA, Microsoft Research, CWI = * Harald Baier Datensicherheit h_da SS 10 17

18 RSA-Challenge Challenge Number Preis (in USD) Status Tag der Einreicher Methode Einreichung RSA-530 5,000 Faktorisiert März, 2003 Uni Bonn, BSI GNFS RSA ,000 Faktorisiert 12/03/2003 Uni Bonn, BSI GNFS RSA ,000 Faktorisiert 11/02/2005 Uni Bonn, BSI GNFS RSA ,000 Faktorisiert 05/09/2005 Uni Bonn, CWI, BSI GNFS RSA ,000 Nicht Faktorisiert RSA ,000 Faktorisiert Nicht EPFL, GNFS eingereicht RSA ,000 Nicht Faktorisiert RSA ,000 Nicht Faktorisiert Quelle: (Die Challenge ist seit 2007 ausgesetzt.) Harald Baier Datensicherheit h_da SS 10 18

19 Welche RSA-Zahlen wurden faktorisiert? Harald Baier Datensicherheit h_da SS 10 19

20 Wer erfand Public-Key-Kryptographie? James Ellis: Arbeitet bei Government Communication Headquarters (GCHQ), UK Wurde 1969 mit Problem des Schlüsselaustauschs betraut Las Artikel von Bell über abhörsichere Telefonate James Ellis Bells Lösungsansatz: Empfänger bringt Rauschen in die Telefonleitung Idee von Ellis: Empfänger beteiligt sich an Verschlüsselung Ende 1969: Konzept der nicht geheimen Verschlüsselung Harald Baier Datensicherheit h_da SS 10 20

21 War RSA schon vorher bekannt? Clifford Cocks: Arbeitet bei Government Communication Headquarters (GCHQ), UK Kam im September 1973 zu GCHQ Wissenschaftlicher Hintergrund: Zahlentheoretiker, kein Kryptograph Sein Mentor erzählt zufällig von Problem der Trapdoor-One-Way-Functions Cocks formuliert innerhalb von 30 Minuten den Ansatz von RSA Clifford Cocks Harald Baier Datensicherheit h_da SS 10 21

22 (Asymmetrische) Elektronische Signatur: Prinzip Angebot Angebot gültig / ungültig signieren Signatur verifizieren Alice Signaturschlüssel d Signaturprüfschlüssel e Bob geheim: Private Key öffentlich: Public Key elektronische Signatur Harald Baier Datensicherheit h_da SS 10 22

23 Elektronische Signatur: Eigenschaften Verwenden gleiche mathematische Probleme wie asymmetrische Verschlüsselungsverfahren Gängige Realisierungen: RSA-Signaturverfahren Digital Signature Algorithm (DSA) Elliptic Curve Digital Signature Algorithm (ECDSA) Vorteil: Schlüsselaustauschproblem gelöst (Signaturprüfschlüssel werden veröffentlicht) Nachteil: Ineffizient Harald Baier Datensicherheit h_da SS 10 23

24 Lösung: Elektronische Signatur mit Hashverfahren Angebot Angebot Hashfunktion gültig / ungültig Signatur Hashfunktion Hashwert Hashwert signieren verifizieren Alice geheim öffentlich Bob Harald Baier Datensicherheit h_da SS 10 24

25 Bedrohung für Public-Key-Verfahren Quantencomputer Peter Shor (*1959) 1994: Polynomial time algorithms for prime factorization and discrete logarithms on a quantum computer Alle gängigen Public-Key-Verfahren werden unsicher, falls Quantencomputer realisiert wird. Harald Baier Datensicherheit h_da SS 10 25

26 Vergleich symmetrische asymmetrische Kryptographie Symmetrische Kryptoverfahren: Vorteil: Relativ schnell Schlüssellänge in Größenordnung 128 Bit Nur Brute-Force-Angriff muss ausgeschlossen werden Nachteil: Schlüsselaustauschproblem Wie wird geheimer Schlüssel vom Sender zum Empfänger übertragen? Bei n Teilnehmern sind ca. n 2 / 2 Schlüssel auszutauschen, wenn jeder mit jedem kommunizieren will. Harald Baier Datensicherheit h_da SS 10 26

27 Vergleich symmetrische asymmetrische Kryptographie (2) Asymmetrische Kryptoverfahren: Vorteil: Schlüsselaustauschproblem gelöst Private Key muss nicht übertragen werden, da der Sender zum Verschlüsseln lediglich den Public Key des Empfängers kennen muss. Bei n Teilnehmern sind n Schlüssel auszutauschen, wenn jeder mit jedem kommunizieren will. Nachteil: Relativ langsam Komplizierte Rechenoperationen Neben Brute-Force-Angriff müssen weitere mathematische Angriffe ausgeschlossen werden Schlüssellänge bei RSA in Größenordnung 2048 Bit Hybride Verschlüsselung verknüpft Vorteile Harald Baier Datensicherheit h_da SS 10 27

28 Lösung: Hybride Verschlüsselung Symmetrischer Sitzungsschlüssel Angebot verschlüsseln entschlüsseln Angebot Alice verschlüsseln entschlüsseln Bob öffentlich hybride Verschlüsselung privat Harald Baier Datensicherheit h_da SS 10 28