Beweisbar sichere Verschlüsselung

Transkript

1 Beweisbar sichere Verschlüsselung ITS-Wahlpflichtvorlesung Dr. Bodo Möller Ruhr-Universität Bochum Horst-Görtz-Institut für IT-Sicherheit Lehrstuhl für Kommunikationssicherheit 1 $Id: bsv.ltx,v /04/18 15:49:11 bm Exp $ Beweisbar sichere Verschlüsselung 1.1 Überblick Wann sind Krypto-Verfahren sicher? brauchen genaue Beschreibungen der gewünschten Eigenschaften z.b.) formalisierte Angriffsspiele Verschiedene Sicherheitsbegriffe stehen zur Auswahl: nicht X ist sicher, sondern X ist sicher im Sinne von Y Aber wirklich beweisbar sicher ist fast nichts Oft möglich ist Sicherheitsbeweis durch Reduktion: Setze Sicherheit voraus für kryptographische Primitive, folgere Sicherheit für eine Konstruktion

2 Beweisbar sichere Verschlüsselung 1. Überblick Forts.) Beweisbar sicher heißt fast immer: Beweis durch Reduktion mit hoffentlich) vernünftigen Annahmen Möglichst einfache Annahmen! Ad-hoc-Konstruktionen ohne Beweis sind oft problematisch Beweisbar sichere Verschlüsselung 1.3 Überblick Forts.) Beispiel: Blockchiffre AES u. a.) als Primitive K {0,1} k E K : {0,1} l {0,1} l D K : {0,1} l {0,1} l Verschlüsselung) Entschlüsselung) D K EK p) ) = p für alle K {0,1} k, p {0,1} l Grundlegende Sicherheitseigenschaft informell): Ist K unbekannt, soll sich E K wie zufällig verhalten

3 Beweisbar sichere Verschlüsselung 1.4 Überblick Forts.) Inhalte der Vorlesung: Konzepte und Techniken für beweisbare Sicherheit in der Kryptographie Sicherheitsbegriffe für Verschlüsselung Grundlegende Konstruktionen Voraussetzungen: Grundkenntnisse Kryptographie Rechnen mit Wahrscheinlichkeiten Beweisbar sichere Verschlüsselung 1.5 Zum Vorgehen Folien und Aufgabenblätter: Übungen: Mo IC 1/161) ab Lösen der Übungsblätter teilweise bewertet... es steht vorher fest, welche!) Ergänzende Literaturempfehlung mit zuviel Inhalt für +1 SWS...): Mihir Bellare, Phillip Rogaway, Introduction to Modern Cryptography

4 Beweisbar sichere Verschlüsselung 1.6 Sicherheit einer Blockchiffre K {0,1} k =: K E K : {0,1} l {0,1} l Jedes E K ist eine Permutation, also injektiv: E K p 1 ) E K p ) für p 1 p Grundlegende Sicherheitseigenschaft: E K soll wie zufällig aussehen Beweisbar sichere Verschlüsselung 1.7 Formalisierung durch ein Angriffsspiel: Betrachte einen Angreifer Gegner, adversary) A A ist probabilistischer Algorithmus d. h. mit Zufallszahlengenerator), interagiert mit einer Funktion f : {0,1} l {0,1} l f ist black box für A: A kann Anfragen p senden und erhält jeweils fp); kein anderer Zugriff auf f Wir sagen auch: A hat Orakel-Zugriff auf f... oder auch: auf f ) Wir schreiben auch: A f ) Schließlich gibt A ein Bit aus 0 oder 1). Wir schreiben A f ) 0 oder A f ) 1.

5 Beweisbar sichere Verschlüsselung 1.8 Für f ) können wir z.b. E K einsetzen mit K K): A E K ) K $ K heiße: K wird mit Gleichverteilung zufällig gewählt. Dann können wir betrachten: [ A E K ) 1 ] Pr K $ K Das ist eine Zahl irgendwo zwischen 0 z.b., wenn A immer 0 ausgibt) und 1 z.b., wenn A immer 1 ausgibt). Oder wähle eine zufällige Permutation d.h. Bijektion) π: {0,1} l {0,1} l ; wir schreiben π Perm{0,1} l ). Wir können betrachten: [ Pr π $ Perm{0,1} l ) A π ) 1 ] Beweisbar sichere Verschlüsselung 1.9 Für Vergleich von E K Blockchiffre) mit Zufallspermutation betrachte Adv PRP E,A := Pr K $ K[ A E K ) 1 ] [ Pr π $ Perm{0,1} l ) A π ) 1 ] Das ist eine Zahl zwischen 1 und 1 Wir nennen sie den Vorteil advantage) von A gegen die Blockchiffre, genauer: PRP-Vorteil PRP = pseudo-random permutation) Was besagt die Zahl Adv PRP E,A? Ein ausgeschmücktes Angriffsspiel macht s deutlicher...

6 Beweisbar sichere Verschlüsselung 1.10 Neuer Ablauf des Angriffsspiels: Wähle b $ {0,1} Falls b = 1, lass A EK ) ablaufen mit K $ K; falls b = 0, lass A π ) ablaufen mit π $ Perm{0,1} l ). Die Ausgabe von A nennen wir b Interpretation: A versucht, mit b das versteckte Bit b zu erraten Setze Adv E,A = Pr[ b = b] 1 ). Beweisbar sichere Verschlüsselung 1.11 Adv E,A = Pr[ b = b] 1 ) Das ist eine Zahl zwischen 1 und 1. Wert 1 heißt: Wert 0 heißt: A rät immer richtig. A ist nicht besser als zufällig.... deshalb Vorteil advantage)! Wert 1 heißt: Umgedrehtes A rät immer richtig! Gib 1 aus gdw. A 0)

7 Beweisbar sichere Verschlüsselung 1.1 Adv PRP E,A = Pr K $ K[ A E K ) 1 ] [ Pr π $ Perm{0,1} l ) A π ) 1 ] = Pr[ b = 1 b = 1] Pr[ b = 1 b = 0] ) = Pr[ b = 1 b = 1] 1 Pr[ b = 0 b = 0] ) = Pr[ b = 1 b = 1] + Pr[ b = 0 b = 0] 1 Pr[ b = 1 b = 1] = Pr[b = 1] Pr[ b = 1 b = 1] = 1 + Pr[ b ) = 0 b = 0] 1 Pr[b = 0] + Pr[ b = 0 b = 0] 1 = Pr[ b = 1 b = 1] + Pr[ b = 0 b = 0] = Pr[ b = b] ) 1 = Pr[ b = b] 1 ) ) 1 ) 1 = Adv E,A Beweisbar sichere Verschlüsselung 1.13 Wir haben also zwei Formulierungen für die gleiche Größe: Adv PRP E,A = Pr K $ K[ A E K ) 1 ] [ Pr π $ Perm{0,1} l ) A π ) 1 ] und im ausgeschmückten Angriffsspiel) Adv PRP E,A = Pr[ b = b] 1 ). Wir nennen E sicher hier speziell: PRP-sicher), wenn der Vorteil Adv PRP E,A für jeden denkbaren Angreifer A verschwindend gering bleibt.

8 Beweisbar sichere Verschlüsselung 1.14 Wir nennen E sicher hier speziell: PRP-sicher), wenn der Vorteil Adv PRP E,A für jeden denkbaren Angreifer A verschwindend gering bleibt. Beides sind bewusst schwammige Kriterien! Welche Angreifer sind denkbar? Begrenzte Ressourcen, insbesondere Zeit) Welcher Vorteil gilt noch als verschwindend gering? Für Beweise durch Reduktion muss man diese Fragen oft nicht beantworten: beliebige quantitative Annahmen ergeben entsprechende Folgerungen. Beweisbar sichere Verschlüsselung 1.15 Rückblick Beweisbar sichere Kryptographie ist selten vollständig beweisbar sicher Sicherheitsbeweise brauchen Voraussetzungen für Primitive... z. B. AES als PRP-sicher Details von AES bleiben hier außen vor!) Hantieren mit formalen Sicherheitsbegriffen erfordert Stochastik bedingte Wahrscheinlichkeiten)

9 Beweisbar sichere Verschlüsselung 1.16 Vorschau Sicherheitsbegriffe für Einmal-Verschlüsselung Sicherheitsbegriffe für symmetrische Verschlüsselung