Übung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52

Transkript

1 Übung zur Vorlesung Sicherheit Übungsblatt 3 Björn Kaidel bjoern.kaidel@kit.edu 1 / 52

2 Kummerkasten Bitte helleren Laserpointer verwenden. Sind die Skriptlinks vertauscht? Nein! Wegen allgemeiner Verwirrung und da das alte Skript eh veraltet ist, wurde der Link dazu entfernt. Folien vor der Übung hochladen. Timeout des Bildschirms ausschalten. 2 / 52

3 Wdh.: Hashfunktionen Fingerabdruck H k : {0, 1} {0, 1} k k ist Sicherheitsparameter Kollisionsresistenz: Für alle PPT-Algorithmen A ist Pr[(X, X ) A(1 k ) : X X H k (X ) = H k (X )] vernachlässigbar. Eine Kollision reicht! Wichtig: Nachricht für Kollision wird nicht vorgegeben! Es gibt auch andere Def. Wir beschränken uns auf die Obige! 3 / 52

4 Sicherheit Übungsblatt 3 Aufgabe 1 Geg. H, H : {0, 1} {0, 1} k kollisionsresistente Hashfunktionen. Daraus wird neue Hashfunktion Ĥ konstruiert. Frage: Ist Ĥ kollisionsresistent? 4 / 52

5 Sicherheit Übungsblatt 3 Aufgabe 1 (a) Ĥ(x) := H(x x) ist kollisionsresistent. Sei x, y mit x y eine Kollision. Dann gilt: Ĥ(x) = Ĥ(y) H(x x) = H(y y). Also ist x x, y y Kollision für H. Formal: Konstr. aus PPT A der Kollisionen für Ĥ ndet einen PPT B, der Kollisionen für H ndet... Widerspruch zur Kollisionsresistenz von H. Also: Ĥ kollisionsresistent. 5 / 52

6 Sicherheit Übungsblatt 3 Aufgabe 1 (b) Ĥ(x) := H(x) H (x) ist im Allg. nicht kollisionsresistent. Betrachte H = H. Dann gilt für alle x:. Und somit für alle x, y: Ĥ(x) = H(x) H(x) = 0 k Ĥ(x) = Ĥ(y). Also: Kollisionsres. hier abhängig von den Hashfunktionen! (auch bei H H problematisch, betrachte z.b. H (x) = H(x)) 6 / 52

7 Sicherheit Übungsblatt 3 Aufgabe 1 (c) Ĥ(x) := H(H (x)) ist kollisionsresistent. Sei x, y mit x y eine Kollision, also Ĥ(x) = H(H (x)) = H(H (y)) = Ĥ(y). Fall 1: H (x) = H (y)... ist Kollision für H. Konstr. Widerspruch zur Kollres. von H Fall 2: H (x) H (y)... dann ist H (x), H (y) eine Kollision für H. Konstr. Widerspruch zur Kollres von H. Formal: Konstruiere Angreifer... 7 / 52

8 Sicherheit Übungsblatt 3 Aufgabe 1 (d) Ĥ(x) := F (x) H(x) mit F bel. Fkt. ist kollisionsresistent. Sei x, y mit x y eine Kollision. Dann gilt: Ĥ(x) = Ĥ(y) F (x) H(x) = F (y) H(y) H(x) = H(y). D.h. x, y ist auch Kollision für H. Widerspruch zur Kollisionsresistenz von H. 8 / 52

9 Sicherheit Übungsblatt 3 Aufgabe 1 (e) { x wenn x = k Ĥ(x) := H(x) sonst ist nicht kollisionsresistent. Für alle y mit y k gilt: Ĥ(y) = H(y) Aber: H(y) = k also Ĥ(H(y)) = H(y). Auÿerdem H(y) y (unterschiedliche Länge!) Somit: y, H(y) Kollision für Ĥ. 9 / 52

10 Sicherheit Übungsblatt 3 Aufgabe 1 (f) Ĥ(x) := H(F (x)) für eine injektive Fkt. F : {0, 1} {0, 1} ist kollisionsresistent. Sei x, y mit x y eine Kollision. Dann gilt: Da F injektiv, ist H(F (x)) = H(F (y)). F (x) F (y). D.h. F (x), F (y) ist eine Kollision für H. Widerspruch zur Kollisionsresistenz von H. 10 / 52

11 Sicherheit Übungsblatt 3 Aufgabe 2 RSA-Verschlüsselung: N = P Q mit den Primzahlen P = 23 und Q = 11. (a) Setzen Sie die RSA-Schlüsselgenerierung fort. (b) Verschlüsseln Sie die Nachricht M = 17. (c) Entschlüsseln Sie das Chirat aus (b). 11 / 52

12 Sicherheit Übungsblatt 3 Aufgabe 2 (a) Schlüsselgenerierung: N = P Q = 253, ϕ(n) = (P 1)(Q 1) = 220 Ziehe e {3,..., ϕ(n) 1} mit ggt(e, ϕ(n)) = 1. Zum Beispiel e = 19. Berechne d = e 1 mod ϕ(n) mit dem erweiterten euklidischen Algorithmus. 12 / 52

13 Sicherheit Übungsblatt 3 Aufgabe 2 (a) Erw. euklid. Algorithmus (EEA) für A, B berechnet s, t mit: ggt(a, B) = s A + t B. In unserem Fall: A = ϕ(n) = 220 B = e = 19 ggt(a, B) = ggt(ϕ(n), e) = 1 13 / 52

14 Sicherheit Übungsblatt 3 Aufgabe 2 (a) Wir erhalten also s, t mit 1 = s ϕ(n) + t e. Dass nimmt man modϕ(n) und erhält: 1 = t e mod ϕ(n) Und damit d := t. 14 / 52

15 Sicherheit Übungsblatt 3 Aufgabe 2 (a) Jetzt der Algorithmus mit ϕ(n) = 220, e = 19: Gleichung R i s i t i (1) 220 = (2) 19 = Euklid. Alg. (3) 220 = (1) 11 (2) (4) 19 = (2) 1 (3) (5) 11 = (3) 1 (4) (6) 8 = (4) 2 (5) (7) 3 = (5) 1 (6) (8) 2 = (6) 2 (7) Abbruch, sobald Rest R i = 0 erreicht. Zeile (7) enthält die für uns interessanten Werte! 15 / 52

16 Sicherheit Übungsblatt 3 Aufgabe 2 (a) Aus Zeile (7) erhalten wir und damit: 1 = ( 81) 19 = 7 ϕ(n) + ( 81) e d = 81 modϕ(n) = modϕ(n) = 139 modϕ(n) 16 / 52

17 Sicherheit Übungsblatt 3 Aufgabe 2 (a) Insgesamt: pk = (N, e) = (253, 19) sk = (N, d) = (253, 139) Es gibt mehrere Möglichkeiten den EEA zu berechnen. Eine zweite Möglichkeit ist in der Musterlösung zu nden. 17 / 52

18 Sicherheit Übungsblatt 3 Aufgabe 2 (b) Verschlüsseln Sie die Nachricht M = 17. pk = (N, e) = (253, 19) C := M e mod N = mod 253 = / 52

19 Sicherheit Übungsblatt 3 Aufgabe 2 (c) Entschlüsseln Sie das Chirat C = 189. sk = (N, d) = (253, 139) M := C d mod N = mod 253 = / 52

20 Sicherheit Übungsblatt 3 Aufgabe 2 Fazit: Wir wissen wie RSA-Schlüsselgenerierung, -Verschlüsselung und -Entschlüsselung in der Lehrbuch-Variante funktionieren Wir haben den erweiterten euklidischen Algorithmus geübt 20 / 52

21 Sicherheit Übungsblatt 3 Aufgabe 3 F : {0, 1} 2k {0, 1} k kollres. Fkt. M = L < 2 k Deniere H MD (M) wie folgt: 1. Setze B := L k. 2. Füge, falls nötig, Padding hinzu: M 0 k L mod k = M 1... M B 3. Nun insgesamt B k-bit-blöcke M 1,..., M B. 4. Setze M B+1 := L, wobei L mit exakt k Bits codiert wird. 5. Setze Z 0 := 0 k. 6. Für i = 1,..., B + 1 berechne Z i := F(Z i 1 M i ). 7. Gib Z B+1 aus. 21 / 52

22 Sicherheit Übungsblatt 3 Aufgabe 3 Betrachte H MD (M) = Z B (statt Z B+1!). Ist H MD kollisionsresistent? H MD ist nicht kollisionsresistent! Länge der Nachricht ieÿt nicht mehr in Hashwert ein. Sei M Nachricht mit M mod k 0. M muss also gepaddet werden! Dann ist z.b. M := M 0 eine Kollision für M. M hat Länge L / 52

23 Sicherheit Übungsblatt 3 Aufgabe 3 Betrachte den Padding Schritt: Bei H MD (M): Bei H MD (M ): k L mod k M 0 M 0 k (L+1) mod k k (L+1) mod k = (M 0) 0 k L mod k = M 0 23 / 52

24 Sicherheit Übungsblatt 3 Aufgabe 3 Nach Padding verwenden also beide die selben Blöcke. Somit: H MD(M) = H MD(M ) Man hat quasi Nuller vom Padding in die Nachricht geschoben. Nachricht M mit passender Länge ist leicht zu nden... Auÿerdem gilt natürlich M M. Also ist H MD nicht kollisionsresistent. 24 / 52

25 Sicherheit Übungsblatt 3 Aufgabe 3 Idee: Beschränkung auf Nachrichten M mit M = n k, n N Ist H MD dann kollisionsresistent? Antwort: Nein, auch dann nicht! Abhängig von F Erinnerung: Z i = F (Z i 1 Mi) Wir konstruieren ein kollres. F, sodass damit konst. H MD nicht kollisionsresistent. 25 / 52

26 Sicherheit Übungsblatt 3 Aufgabe 3 Sei F : {0, 1} 2k {0, 1} k 1 kollres. Achtung, es wird nach {0, 1} k 1 abgebildet! Sei M {0, 1} k beliebig (aber fest!). Konstruiere damit: { 0 k, wenn x = 0 F M (x) := k M F (x) 1, sonst 26 / 52

27 Sicherheit Übungsblatt 3 Aufgabe 3 { 0 k, wenn x = 0 F M (x) := k M F (x) 1, sonst Behauptung: F M ist kollisionsresistent. Sei y z eine Kollision. Fall 1: y 0 k M z. Dann gilt: F M (y) = F (y) b = F (z) b = F M (z) F (y) = F (z) Widerspruch zur Kollisionsresistenz von F! 27 / 52

28 Sicherheit Übungsblatt 3 Aufgabe 3 { 0 k, wenn x = 0 F M (x) := k M F (x) 1, sonst Fall 2: O.B.d.A. y = 0 k M Dann gilt: F M (y) = 0 k = F (z) 1 = F M (z) Kann nicht sein, da 0 1 (niederwertigstes Bit) Insgesamt folgt: F M kollisionsresistent. 28 / 52

29 Sicherheit Übungsblatt 3 Aufgabe 3 Da F M kollisionsresistent können wir es zur Konst. von H MD verwenden. Dafür gilt bei Berechnung von H MD (M a ) (a N) aber: Z 0 = 0 k Z 1 = F M (Z 0 M) Z 2 = F M (Z 1 M) = F M (0 k M) = 0 k = F M (0 k M) = 0 k.. Z B = F M (Z B 1 M)= F M (0 k M) = 0 k Und damit: H MD (M a ) = 0 k. 29 / 52

30 Sicherheit Übungsblatt 3 Aufgabe 3 D.h. für alle a, b N, a b: H MD(M a ) = H MD(M b ) Da M a M b haben wir beliebig viele Kollisionen gefunden. Also: H MD nicht kollisionsresistent! Trotz Einschränkung Nachrichten mit M = n k! 30 / 52

31 Sicherheit Übungsblatt 3 Aufgabe 3 Fazit: Für die Sicherheit der Merkle-Damgård-Konstruktion ist es essentiell, dass wir die Länge der Eingabe in den Hash einbringen (auÿer es sind nur Eingaben gleicher fester Länge erlaubt) 31 / 52

32 Sicherheit Übungsblatt 3 Aufgabe 4 Doktor Meta Aufgabe (Story siehe Blatt) Sei G zyklische Gruppe, Ordnung p, g Erzeuger x Z p, h := g x Nachrichten sind Tupel aus Z p Z p Hashfunktion H: H(M) = H((M 1, M 2 )) = g M 1 h M 2. g, h öentlich bekannt, x geheim (nur Doktor Meta bekannt). 32 / 52

33 Sicherheit Übungsblatt 3 Aufgabe 4 Aufgaben: (a) Zeigen Sie, dass H kollisionsresistent ist. (b) Warum kann Doktor Meta trotzdem Kollisionen berechnen? (c) Warum kann jeder Kollisionen berechnen, sobald eine Kollision öentlich bekannt wird? 33 / 52

34 Sicherheit Übungsblatt 3 Aufgabe 4 (a) Zeige: H kollisionsresistent. Annahme: Diskreter Logarithmus in G schwierig, d.h. für alle PPT A ist Pr[A(g, g x ) = x x Z p ] vernachlässigbar. Reduktion auf DLog Zeige: H nicht kollres. DLog einfach. Widerspruch zur DLog-Annahme H kollres. 34 / 52

35 Sicherheit Übungsblatt 3 Aufgabe 4 (a) Also: Angenommen H nicht kollisionresistent. Dann existiert PPT A, der mit nicht-vernachlässigbarer Wkt. Kollisionen berechnet. Konstruiere aus A einen PPT B, der: g, g x erhält, und dann irgendwie A verwendet, um x zu berechnen. 35 / 52

36 Sicherheit Übungsblatt 3 Aufgabe 4 (a) B erhält g, g x als DLog-Challenge. Er setzt h := g x und gibt g, h an A (als Hashfkt) A gibt Kollision M M aus (mit nicht-vernach. Wkt.). B berechnet daraus x: H(M) = H(M ) g M 1 h M 2 = g M 1 h M 2 g M 1+xM 2 = g M 1 +xm 2 M 1 + xm 2 = M 1 + xm 2 x = M 1 M 1. M 2 M 2 (Beobachtung: Da M M ist auch M i M i!) 36 / 52

37 Sicherheit Übungsblatt 3 Aufgabe 4 (a) Somit gilt: Pr[B(g, g x ) = x x Z p ] = Pr[A berechnet Kollision]. Pr[A berechnet Kollision] nach Annahme nicht-vernachl. Widerspruch zu DLog-Annahme! Also: A kann nicht exisiteren und somit ist H kollisionsresistent. (unter der DLog-Annahme!) 37 / 52

38 Sicherheit Übungsblatt 3 Aufgabe 4 (b) Warum kann Doktor Meta trotzdem Kollisionen berechnen? Doktor Meta kennt x! Er wählt zufällig M 1, M 2, M 1 (mit M 1 M 1 ) und löst die Gleichung (nach M 2 ) g M 1 h M 2 = g M 1 h M 2 g M 1+xM 2 = g M 1 +xm 2 M 1 + xm 2 = M 1 + xm 2 M 2 = M 1 M 1 x + M 2 M = (M 1, M 2 ), M = (M 1, M 2 ) ist Kollision. M M, da M 1 M / 52

39 Sicherheit Übungsblatt 3 Aufgabe 4 (c) Warum kann jeder Kollisionen berechnen, sobald eine Kollision öentlich bekannt wird? Wenn eine Kollision bekannt ist kann man wie in (a) x berechnen. Wenn man x kennt kann man wie in (b) beliebige Kollisionen berechnen. 39 / 52

40 Exkurs: Annahmen Wir haben einige Annahmen kennengelernt, z.b. RSA-Annahme, DLog-Annahme. Warum eigentlich? 40 / 52

41 Exkurs: Annahmen Informationstheoretische Sicherheit Für alle Angreifer ist Erfolgswkt. gleich Raten (stark vereinfacht!) Bei Verschlüsselung z.b. One-Time-Pad Informationstheoretische Sicherheit hat Grenzen! Jedes infotheo. sichere Verschlüsselungsverfahren ist quasi äquivalent zu OTP Unhandlich in Praxis, schwierig zu verwenden, zu groÿe Schlüssel etc. 41 / 52

42 Exkurs: Annahmen Informationstheoretische Sicherheit, besonders schlimm: Es gibt keine infoth. sichere Public-Key-Verfahren. Public-Key Verschlüsselung, Digitale Signaturen etc. Warum? pk ist bekannt. Berechne sk so: Führe (pk, sk ) Gen(1 k ) so oft/für alle mögl. Zufallswerte aus,... bis pk = pk. Wegen der Korrektheit ist sk dann passender Secret-Key für pk. 42 / 52

43 Exkurs: Annahmen Daher: betrachte Sicherheit aus Sicht der Komplexitätstheorie: für alle PPT A ist Wkt. vernachlässigbar... IND-CPA, IND-CCA, Kollisionsresistenz, EUF-CMA... Beseitigt alle Probleme von infoth. Sicherheit. Problem: Existenz von komplth. Sicherheit impliziert P NP. P? = NP schwieriges und ungelöstes Problem. 43 / 52

44 Exkurs: Annahmen P? = NP nicht umsonst ungelöst niemand glaubt, dass man das Problem durch Kryptographie mal so nebenbei löst. Trotzdem will man kryptographische Verfahren konstruieren. 44 / 52

45 Exkurs: Annahmen Lösung: Annahmen Verwende ungelöste, aber gut untersuchte (!), Probleme. Faktorisierung, RSA, DLog,... Konstruiere daraus Kryptographie. Krypto so schwierig, wie ungelöstes Problem 45 / 52

46 Digitale Signaturen Gen(1 k ): erzeugt Schlüsselpaar pk, sk Sign(sk, M): berechnet Signatur σ für M. Ver(pk, M, σ): Überprüft σ für M, gibt 0 oder 1 aus. Korrektheit: Ver(pk, M, σ) = 1 für alle (pk, sk) Gen(1 k ), alle M und alle σ = Sign(sk, M). Ziel eines Angreifers: Signaturen fälschen. Sicherheitsbegri: EUF-CMA. 46 / 52

47 EUF-CMA: Ablauf Herausforderer C führt (pk, sk) Gen(1 k ) aus. C stellt Sign(sk, )-Orakel für A bereit. C A Orakel pk M σ = Sign(sk, M i ) M, σ (Poly. viele Anfragen erlaubt!) Ver(pk, M, σ ) = 1? M / {M 1,..., M n }? 47 / 52

48 EUF-CMA: Beispiel Sei Σ = (Gen, Sign, Ver) EUF-CMA-sicher. Betrachte Σ mit: Gen (1 k ) := Gen(1 k ) Sign (sk, M) := Sign(sk, M M) Ver (pk, M, σ) := Ver(pk, M M, σ) Zeige: Σ ist EUF-CMA-sicher (da Σ EUF-CMA-sicher). (Korrektheit?) 48 / 52

49 EUF-CMA: Vorgehen Wie immer: Widerspruchsbeweis/Reduktion Annahme: Σ nicht EUF-CMA-sicher. Konst. aus Angreifer A für Σ Angreifer B für Σ. Widerspruch zur Sicherheit von Σ Wieder zwei Schritte: Simulation des Sign -Orakels durch Sign-Orakel. Verwendung der Fälschung von A gegen Σ um Fälschung für Σ zu nden. 49 / 52

50 σ = Sign(sk, M M) σ Simulation des Orakels B hat Zugri auf Σ-Sign-Orakel. A braucht Zugri auf Σ -Sign -Orakel. B muss Σ -Sign -Orakel simulieren. Zur Erinnerung: Sign (sk, M) := Sign(sk, M M) Sign(sk, )-Orakel M M B M A 50 / 52

51 Verwendung der Fälschung A schickt Fälschung M, σ. C M M, σ B M, σ A Ist M, σ eine gültige Fälschung für Σ so gilt: Ver(pk, M M, σ ) = Ver (pk, M, σ ) = 1 Wenn M nie von A ans Orakel geschickt, so schickt B nie M M an sein Orakel d.h. M M ist frisch (Wichtig!) 51 / 52

52 Beweisende B simuliert das EUF-CMA-Spiel für A perfekt. Gibt A eine gültige Fälschung aus, so auch B. B gewinnt A gewinnt. Also: Pr[B gewinnt] nicht vernachlässigbar. Widerspruch zur EUF-CMA-Sicherheit von Σ. Σ muss ebenfalls EUF-CMA-sicher sein. 52 / 52