Digitale Signaturen. Kapitel 8

Transkript

1 Digitale Signaturen Kapitel 8

2 Handschriftliche vs. digitale Unterschrift digitalisieren mp3 Unterschrift digitale Unterschrift von D.H. für mp3? (Scannen und als Bitmap anhängen z.b. zu leicht zu fälschen) prüfe Echtheit z.b. durch Vergleich mit eigener Autogrammkarte Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 2

3 Struktur von Signaturverfahren Definition. Ein Signaturverfahren ist ein Tripel von effizienten Algorithmen S =(KGen, Sig, Vf) mit: Schluesselgenerierung: KGen(1 n ) gibt fuer Eingabe 1 n ein Paar (sk, pk) von Schluesseln aus (sk, pk enthalten 1 n ). Signieren: Sig(sk,m) gibt fuer sk und eine Nachricht m M pk eine digitale Signatur s aus. Verifizieren: Vf(pk,m,s) gibt ein Bit d aus. Ferner gelte Vf(pk,m,s)=1fuer alle m M pk, alle s Sig(sk,m), alle (sk, pk) KGen(1 n ) und alle n N. Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 3

4 Sicherheit von Signaturverfahren pk (sk, pk) KGen(1 n ) A m i M pk s i s i Sig(sk,m i ) Ausgabe m,s (Angreifer kann selbst mittels pk pruefen, daher keine Verifikationsbox) unforgeable under chosen-message attacks (CMA-UNF), wenn fuer alle effizienten Angreifer A gilt: Pr [Vf(pk,m,s )=1und m 6= m 1,m 2,...] 0 Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 4

5 Hash-and-Sign-Prinzip

6 Hash-and-Sign-Prinzip (Beschreibung der) Hash-Funktion H in pk und sk enthalten m m s Sig(sk, ) H( ) Vf(pk,, ) H( ) H(m) H(m) Sig (sk, ) für kurze Nachrichten Vf (pk,, ) s d Vorteil: Sig*, Vf* für kurze Nachrichten einfacher zu entwerfen / effizienter Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 6

7 Hash-and-Sign-Konstruktion Hash-Werte unter H Nachrichtenraum von S Satz. Sei S ein Signaturverfahren, das unforgeable under chosen-message attacks ist, und H eine kollisionsresistente Hash-Funktion. Dann ist das folgende Signaturverfahren S ebenfalls unforgeable under chosenmessage attacks: Schluesselerzeugung: KGen(1 n ) erzeugt (sk, pk ) KGen (1 n ) und K HKGen(1 n ) und gibt (sk, pk) mit sk =(sk,k) und pk = (pk,k) aus. Unterschreiben: Sig(sk,m) fuer m M K berechnet h = HEval(K, m) und s Sig (sk,h) und gibt s aus. Pruefen: Vf(pk,m,s) fuer m M K berechnet h = HEval(K, m) und gibt d Vf (pk,h,s) aus. Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 7

8 Hash-and-Sign-Konstruktion: Beweis Beweisidee. Angenommen, A waere erfolgreicher Angreifer auf Verfahren S, der m 6= m 1,m 2,... und gueltige Signatur s ausgibt. Fallunterscheidung: Fall 1: H(m )=H(m i ) fuer ein i. Dann haette A wegen m 6=m i eine Kollision fuer Hash-Funktion gefunden, im Widerspruch zur Kollisionsresistenz. Fall 2: H(m ) 6=H(m 1 ),H(m 2 ),... Dann ist Nachricht H(m ) neu und mit s eine erfolgreiche Faelschung gegen Verfahren S, im Widerspruch zur Unforgeability von S. Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 8

9 Beispiele

10 Digital Signature Algorithm (DSA) Digital Signature Algorithm von NIST im August 1991 publiziert in FIPS-PUB 186 und ANSI X9.30 standardisiert Sicherheit basiert auf Diskreten-Logarithmus-Problem aber kein Sicherheitsbeweis unter DL-Annahme bekannt aber auch keine nennenswerten Angriffe bekannt Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 10

11 DSA: Verfahren (I) Schluesselgenerierung: KGen(1 n ) waehlt n-bit-primzahl p mit 512 n 1024, sowiegeneratorg einer Untergruppe G von Z p mit primer Ordnung q der Bitlaenge 160. Ferner waehlt der Algorithmus x Z q zufaellig und berechnet y = g x mod p und gibt sk =(p, q, g, x) und pk =(p, q, g, y) aus. Ferner sei H : {0, 1} 264 Z q die Hash-Funktion SHA-1. Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 11

12 DSA: Verfahren (II) Unterschreiben: Sig(sk,m) waehlt fuer sk und eine Nachricht m M pk = {0, 1} 264 ein zufaelliges k Z q und berechnet r =(g k mod p) modq, t = k 1 (H(m)+xr) modq, und gibt s =(r, t) aus. Pruefen: Vf(pk,m,s) fuer s =(r, t) berechnet w = t 1 mod q, u 1 = w H(m) modq, u 2 = rw mod q, v =(g u 1 y u 2 mod p) modq, und gibt 1 aus, wenn v = r und r, t Z q gilt, und 0 sonst. Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 12

13 FDH-RSA: Verfahren (FDH: Full-Domain-Hash) Schluesselgenerierung: KGen(1 n ) waehlt n-bit-rsa-modulus N und RSA-Exponenten e (mit ggt(ϕ(n),e)=1sowie d mit ed = 1modϕ(N), und gibt aus (sk, pk) =((N,d), (N,e)). Ferner sei H : {0, 1} Z N eine Hash-Funktion. Unterschreiben: Sig(sk,m) gibt aus s =(H(m)) d mod N. Pruefen: Vf(pk,m,s) gibt 1 aus, wenn s e = H(m) modn und s Z N,und0 sonst. (Konstruktionsprinzip (!) in ISO/IEC 9796 und PKCS #1) Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 13

14 FDH-RSA: Sicherheit Satz. Unter der RSA-Annahme ist FDH-RSA unforgeable under chosen-message attacks, sofern H als Random Oracle modelliert wird. Bedeutung der Hash-Funktion. Ohne (oder auch mit schwacher) Hash-Funktion ist RSA kein sicheres Signaturverfahren (fuer Nachrichten aus Z N ). Beispiel: aus Unterschriften s 1 = m d 1 mod N, s 2 = m d 2 mod N erhaelt man Unterschrift s = s 1 s 2 mod N fuer m = m 1 m 2 mod N. Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 14

15 One-Time-Signatures Angreifer darf sich nur eine Unterschrift geben lassen A m M pk s s Sig(sk,m) Ausgabe m,s mit m 6= m Entwurf wird einfacher (Effizienz, Annahme, etc.) Anwendungen: man kann allgemeine Signaturverfahren ableiten multicast und broadcast authentication, Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 15

16 One-Time-Signatures: Verfahren Lamport, 1979 gegeben: One-Way-Funktion f Schluesselgenerierung: KGen(1 n ) waehlt 2n zufaellige Werte x b i {0, 1} n fuer i = 1, 2,...,n und b {0, 1}, berechnet jeweils yi b = f(xb i ) und gibt aus sk =((xb i ) i=1,2,...,n,b {0,1}) sowie pk = ((yi b) i=1,2,...,n,b {0,1}). Unterschreiben: Sig(sk,m) fuer Nachricht m = m 1 m 2...m n M pk = {0, 1} n mit Bits m i gibt aus s =(x m i 1,...,xm n n ). Pruefen: Vf(pk,m,s) fuer m {0, 1} n und s =(z 1,...,z n ) gibt 1 aus, wenn z i {0, 1} n und f(z i )=y m i i fuer alle i =1, 2,...,n, und gibt 0 aus sonst. Sicherheitsidee. Angreifer muesste fuer m 6= m mit gueltiger Signatur s Urbild zu y m i i (verschieden von y m i i ) finden, im Widerspruch zur One-Way-Eigenschaft. Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 16

17 Fiat-Shamir-Methode

18 Idee Identifikationsverfahren: oeffentlich: Schluessel pk Alice Bob Alice beweist Bob, dass sie den geheimen Schlüssel zu pk kennt Fiat-Shamir-Transformation (1986): (bestimmte, interaktive) Identifikationsverfahren (nicht-interaktive) Signaturverfahren Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 18

19 Schnorr, 1991 Beispiel: Diskreter-Logarithmus oeffentlich: p, g, q und y Alice Bob kennt x Z q mit y = g x mod p waehle r Z q berechne R = g r mod p R commitment c challenge waehle c Z q berechne t = r cx mod q t response akzeptiere, wenn R in Gruppe und R = g t y c mod p Fiat-Shamir-Methode funktioniert mit allen Verfahren dieses Typs (u.a. RSA, Faktorisieren, etc.) Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 19

20 Beispiel: DL - Sicherheit aus Bobs Sicht oeffentlich: p, g, q und y Alice* Bob Wenn Bob akzeptiert, dann sollte Gegenüber auch wirklich diskreten Logarithmus zu y kennen R c waehle c Z q t akzeptiere, wenn R in Gruppe und R = g t y c mod p Idee: nach Festlegung auf R nur eine passende Antwort s auf c (Achtung: formales Argument wesentlich komplizierter!) Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 20

21 Beispiel: DL - Sicherheit aus Sicht von Alice oeffentlich: p, g, q und y Alice kennt x Z q mit y = g x mod p waehle r Z q berechne R = g r mod p berechne t = r cx mod q R c t Bob* starke Forderung: Bob sollte aus Ausführung nicht mehr über sk lernen können, als dass Alice sk kennt Zero-Knowledge-Eigenschaft (hier nur erfüllt, wenn Challenge-Raum klein ): Idee: Bob kann erst c waehlen, und dann Schritte von Alice simulieren (berechne stattdessen R = g r y c und t = r) Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 21

22 Beispiel: DL - nicht-interaktive Variante Alice kennt x Z q mit y = g x mod p oeffentlich: p, g, q und y Hash-Funktion H Bob waehle r Z q berechne R = g r mod p berechne c = H(R) berechne t = r cx mod q Idee: für gute Hash-Funktion H kann man nicht erst c wählen und dann geeignetes R berechnen c erhält man erst nach R, wie bei Interaktion R c t waehle c Z q berechne c = H(R) akzeptiere, wenn R in Gruppe und R = g t y c mod p Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 22

23 Beispiel: DL - Fiat-Shamir-Transformation oeffentlich: p, g, q und y pk= Hash-Funktion H Alice Bob kennt x Z q mit y = g x mod p =sk waehle r Z q berechne R = g r mod p berechne c = H(R, H(R) m) berechne t = r cx mod q gib aus s =(R, t) R unterschreiben t prüfen von m und s =(R, t) berechne c = H(R, H(R) m) akzeptiere, wenn R in Gruppe und R = g t y c mod p ist CMA-UNF unter DL-Annahme und wenn H Random Oracle (Pointcheval-Stern, 1996). Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 23

24 Umkehrung: Signaturverfahren zur Identifikation oeffentlich: pk zu Signaturverfahren Alice Bob kennt sk zu pk m challenge waehle m M pk zufaellig berechne s Sig(sk,m) s response akzeptiere, wenn Vf(pk,m,s)=1 (Protokoll ist i.d.r. nicht Zero-Knowledge, da Bob Unterschrift s für m aus Ausführung lernt; dennoch sicheres Identifikationsverfahren) Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 24

25 Zertifizierung

26 Zuordnung Schlüssel Person Identitätsfeststellung und Ausstellen eines Zertifikats cert für Alice und pk Certificate Authority (CA) Alice öffentlicher Signatur-Schlüssel pk und Zertifikat cert zu pk und Alice m,s Bob signiere Nachricht m prüfe Signatur s zu m mit pk und Zertifikat cert zu pk und Alice kann ohne erfolgreiche Fälschung keine andere Nachricht m* unter Identität von Alice senden Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 26

27 Unterschritfprüfung Lastschriftverfahren EC-Karte Unterschrift 1. vergleiche Unterschriften (=Signaturprüfung) 2. prüfe Karte bzgl. Aussteller, Gültigkeit, Beschaffenheit, (=Zertifikatsprüfung) Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 27

28 Elektronische Zertifikate elektronisches Zertifikat (z.b. X.509, ) enthält: Identität des Inhabers eindeutige Zertifikatsnummer öffentlicher Schlüssel pk Gültigkeitsdauer Gültigkeitsbeweis via digitaler Signatur der CA zirkuläres Problem: Zuordnung CA pk CA Lösung: vetrauenswürdige Root-CA Einführung in die Kryptographie TU Darmstadt, WS 07/08 Marc Fischlin Page 28