Kryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman

Transkript

1 Kryptologie Bernd Borchert Univ. Tübingen SS 2017 Vorlesung Teil 10 Signaturen, Diffie-Hellman

2 Signatur Signatur s(m) einer Nachricht m Alice m, s(m) Bob K priv K pub K pub

3 Signatur Signatur (Thema Integrity ) Gegeben eine Nachricht/Information m. Eine Signatur s(m) von m hat folgenden Sinn: 1. Schutz gegen Manipulation von m durch Dritte 2. Nachweis, dass m durch denjenigen (und nicht jemand anders) gesendet/produziert/bestätigt wurde, der den geheimen Schlüssel besitzt 3. Nichtabstreitbarkeit: Nachweisbarkeit gegenüber dem Besitzer des geheimen Schlüssels, dass m vom ihm signiert wurde. Die 3. Eigenschaft entspricht am meisten dem Zweck einer üblichen Unterschrift unter einen Vertrag. Die 3. Eigenschaft kann nur mit asymmetrischen Signaturen (PKI) erreicht werden.

4 RSA Signatur RSA Signaturerzeugung (mit dem privaten Schlüssel) Ein m aus {2,...,N-2} wird mit dem privaten Schlüssel signiert als s = m d mod N s ist die Signatur von m signieren = verschlüsseln mit dem privaten Schlüssel RSA Public Key (e,n) RSA Private Key (d,n)

5 RSA Signatur RSA Signaturprüfung (mit dem öffentlichen Schlüssel) Die RSA-Signatur s einer Nachricht m wird geprüft durch s =? m e mod N Signatur prüfen = entschlüsseln mit dem öffentlichen Schlüssel RSA Public Key (e,n) RSA Private Key (d,n)

6 Elgamal Signatur Elgamal Signaturerzeugung (mit dem privaten Schlüssel) Eine Nachricht m aus {1,..,p-1} soll signiert werden. Finde durch Raten zufälliges k, so dass ggt(k,p-1) = 1, und berechne k -1 mod p-1. Bestimme r = gk mod p s = (m ar)k-1 mod p-1 Die Signatur von m ist das Paar (r,s) Elgamal Public Key (p,g,a) Elgamal Private Key a

7 Elgamal Signatur Elgamal Signaturprüfung (mit dem öffentlichen Schlüssel) (r,s) sei die Signatur einer Nachricht m. Prüfe, ob g m =A r r s mod p Wenn die Signatur vom privaten Schlüssel erzeugt wurde, dann gilt s = (m ar)k-1 mod p-1 <=> m = ar + ks mod p-1 gm = g ar + ks = (g a ) r (g k ) s = A r r s mod p Euler/Fermat Auch bei Elgamal: Signieren ist ähnlich dem Verschlüsseln, jedoch mit dem privaten Schlüssel, und das Prüfen der Signatur ist ähnlich dem Entschlüsseln, jedoch mit dem öffentlichen Schlüssel. Elgamal Public Key (p,g,a) Elgamal Private Key a

8 Symmetrische Signatur Signaturerzeugung (mit dem Schlüssel) Eine Nachricht m soll signiert werden: s = e K (m) (CBC Modus) Prüfung durch Empfänger: Gegeben m und s(m), bestimme ebenfalls s' = e K (m) (CBC Mode) und prüfe ob s' = s. Vorteil symmetrische Signatur: nur ein Teil von s reicht als Signatur, z.b. der letzte 16-Byte Block, oder auch nur ein paar Bytes des letzten Blocks, oder eine deterministische Umformung eines Teils von s(m): z.b. eine 6-stellige Nummer (TAN). Nachteile: 1. Zertifikate etc. sind nicht möglich. 2. Nichtabstreitbarkeit ist nicht erreicht Bijektivität der Verschlüsselung nicht notwendig --> Hash Funktion/MAC reicht (später) AES Schlüssel K AES Schlüssel K

9 Authentisierung: Challenge/Response Challenge-Response ( Zero Knowledge ) für symmetrischen Verfahren: User kündigt dem Server die Authentisierung an und schickt ID. Daraufhin wird vom Server ein Zufallsstring C (challenge) erzeugt und zum User geschickt. Der User verschlüsselt mit seinem geheimen Schlüssel K die challenge C und schickt den response R = e K (z) zurück. Der Server prüft die response R, indem er ebenfalls e K (C) berechnet und das mit R vergleicht. Auch hier gilt wie bei der symmetrische Signatur: Teil bzw. Abbild eines Teils des response sagen wir ein 6-stelliges OTP (one-time-password) - reicht. Und es reicht hier ebenfalls eine (nicht-bijektive) Hash-Funktion (später). Das asysmmetrische challenge/response Verfahren verläuft genau so, außer dass der Server das Ergebnis prüft, indem er R mit dem öffentlichen Schlüssel entschlüsselt und das mit C vergleicht. Asymmetrisch geht challenge/response auch umgekehrt: der Zufallsstring wird vom Server verschlüsselt: nur der User kann ihn mit seinem privaten Schlüsseln entschlüsseln. Server Schlüssel K User geheimer Schlüssel K

10 Privacy/Integrity/Authenticity Symmetrisch Asymmetrisch DES AES RSA Elgamal Privacy (Verschlüsseln/ Entschlüsseln) ja ja ja ja Integrity (Signatur) Authentisieren (Challenge/ Response) ja ja ja ja - Teil der Signatur reicht - Hash-Funktion reicht ja ja ja ja - Teil der Signatur reicht - Hash-Funktion reicht nicht abstreitbar Zertifikate möglich nicht abstreitbar

11 Diffie-Hellman: Erinnerung Primitivwurzel p=11, Primitivwurzel r = Der neue Zyklus mit p-1 Elementen irrt scheinbar zufällig in dem Kreis 1,...,p-1 hin und her. Für große Primzahlen p, z.b. p = 2* , ist das ein 9. Weltwunder, dass dieser Zyklus diese gigantische garantierte Länge hat und jedes Element erreicht. Bewiesen von Gauss 1799 ahead of time!

12 Diffie-Hellman Schlüsselvereinbarung a, s = (g b ) a p, g, g a, g b b, s = (g a ) b A B 1. Einer der beiden legt eine Primzahl p und eine Primitivwurzel g fest und schickt p und g dem anderen. Das darf jeder sehen. 2. A erzeugt sich zufällig eine Zahl a<p und B eine Zahl b<p. Diese beiden Zahlen bleiben geheim. D.h., A wird b niemals kennen, und B a nicht. 3. A berechnet g a mod p und schickt g a mod p über den öffentlichen Kanal an B, und B schickt g b mod p an A. Reihenfolge spielt keine Rolle 4. A berechnet s= (g b ) a mod p, und B berechnet s' = (g a ) b mod p. s und s' sind wegen s = (g b ) a = g (ba) = g (ab) = (g a ) b = s' identisch und s=s' ist damit das gemeinsame Geheimnis, das A und B jetzt haben, aber niemand anders kennt. 5. Mit s als als symmetrischem Schlüssel, z.b. als AES256 Schlüssel, kann jetzt A verschlüsselte Nachrichten über den öffentlichen Kanal an B schicken, die B dann entschlüsseln kann, aber niemand anders, und umgekehrt.

13 Schwächen Diffie-Hellman a, s = (g b ) a p, g, g a, g b b, s = (g a ) b A B 1. Wenn ein schneller Algorithmus für Diskreter Logarithmus gefunden wird, ist DH gebrochen. Genau genommen reicht sogar ein schneller Algorithmus für das folgende Berechnungsproblem: Gegeben p, g, g a mod p, g b mod p, was ist g ab mod p? 2. Der Zufallsgeneratoren bei der Generierung von a und b müssen unvorhersehbar sein. 3. Größtes Problem von Diffie-Hellman ist der Man-in-the-Middle Angriff: a, s = (g z ) a p, g, g a, g z p, g, g z, g b b, t = (g z ) b A M B z, s = (g a ) z, t = (g b ) z Der Angreifer M setzt sich beim Schlüsselaustausch zwischen A und B, generiert eine Zufallszahl z<p und spielt dann A gegenüber B, und B gegenüber A. So tauscht M mit A einen Schlüssel s aus und mit B einen Schlüssel t. A und B bemerken die Anwesenheit von M nicht. Wenn dann A eine mit s verschlüsselte Nachricht an B schickt, entschlüsselt M die Nachricht mit s, verschlüsselt sie mit t, um sie dann an B weiterzuschicken, und umgekehrt. M kann also nicht nur alle Nachrichten abhören, sondern auch abändern. Einziger Trost, was diesen Angriff angeht: M muss dauerhaft den Kanal besetzen, um abzuhören bzw. zu manipulieren, denn A und B merken, dass etwas nicht stimmt, wenn M nicht mehr dazwischen ist bzw. sie sich auf einem anderen Kanal verschlüsselte Nachrichten zuschicken.