Digitale Signaturen. Einführung Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Transkript

1 Digitale Signaturen Einführung Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft

2 Outline Organisatorisches Überblick Einführung (Kap. 1) Definition (Kap. 1.1) Sicherheit (Kap. 1.2) B. Kaidel Digitale Signaturen: Einführung

3 Organisatorisches Vorlesung, Freitags, 11:30-13:00 Uhr, HS -102 Dozent: Björn Kaidel Sprechstunden: Nach Vereinbarung Vorlesungswebsite: B. Kaidel Digitale Signaturen: Einführung

4 Organisatorisches Vorlesung, Freitags, 11:30-13:00 Uhr, HS -102 Dozent: Björn Kaidel Sprechstunden: Nach Vereinbarung Vorlesungswebsite: Prüfung: mündlich Prüfbar im Master Informatik Prüfbar als Einzelprüfung im Vertiefungsfach Kryptographie oder Wahlfach Im Bachelor nur auf Antrag B. Kaidel Digitale Signaturen: Einführung

5 Literatur Vorlesungsskript (von Tibor Jager) Wir werden manche Dinge geringfügig anders machen (Ich werde ausdrücklich darauf hinweisen, wenn dem so ist!) Prüfungsrelevant ist aber der Inhalt der VL! Digital Signatures (von Jonathan Katz) Alle Kapitel aus Uni-Netz abrufbar! Links auf Website B. Kaidel Digitale Signaturen: Einführung

6 Literatur Vorlesungsskript (von Tibor Jager) Wir werden manche Dinge geringfügig anders machen (Ich werde ausdrücklich darauf hinweisen, wenn dem so ist!) Prüfungsrelevant ist aber der Inhalt der VL! Digital Signatures (von Jonathan Katz) Alle Kapitel aus Uni-Netz abrufbar! Links auf Website Wichtig: Folien Ich werde Folien & Tafel verwenden Folien ersetzen nicht das Skript/Tafelanschrieb! Stoff nicht komplett auf den Folien Folien ˆ= Leitfaden B. Kaidel Digitale Signaturen: Einführung

7 Socrative Room: SIGNATUREN App um Quizze durchzuführen Zugang durch Browser oder App Als Quizteilnehmer kein Account notwendig Bitte jetzt einloggen, falls ihr mitmachen wollt :) B. Kaidel Digitale Signaturen: Einführung

8 Feedback Anonyme Feedbackmöglichkeiten: Anonymer Feedbackkasten auf der Website Anynom per Socrative (am Ende der VL) Vorlesungsevaluation B. Kaidel Digitale Signaturen: Einführung

9 Feedback Anonyme Feedbackmöglichkeiten: Anonymer Feedbackkasten auf der Website Anynom per Socrative (am Ende der VL) Vorlesungsevaluation... aber erst gegen Mitte der Vorlesungszeit! B. Kaidel Digitale Signaturen: Einführung

10 Überblick Was sind digitale Signaturen? Im Folgenden: Signatur ˆ= digitale Signatur Was ist Sicherheit? Wie beweist man Sicherheit? Techniken & Konstruktionen Aktuelle Forschung B. Kaidel Digitale Signaturen: Einführung

11 Inhalt Etwas genauer... Grundlagen Einmalsignaturen Mehrfach-/Baum-basierte Signaturen RSA-basierte Signaturen Chamäleon-Hashfunktionen & -Signaturen Pairing-basierte Signaturen Signaturen in der Praxis evtl. fortgeschrittene Themen Nicht in dieser VL: symmetrische Signaturen, MACs B. Kaidel Digitale Signaturen: Einführung

12 Einführung (I) - Kap. 1 Ziel: Kryptographische Verfahren, die das gleiche leisten, wie eine Unterschrift. Folgendes soll sichergestellt werden: Authentizität Dokument von einer bestimmten Person signiert Integrität signiertes Dokument ist unverändert B. Kaidel Digitale Signaturen: Einführung

13 Einführung (II) Auf Papier: bekannt (aber wie gut ist das eigentlich?) B. Kaidel Digitale Signaturen: Einführung

14 Einführung (II) Auf Papier: bekannt (aber wie gut ist das eigentlich?) Digital: Signieren von Bitstrings aus {0, 1} Programme, Datenbanken, Websites, s, B. Kaidel Digitale Signaturen: Einführung

15 Was sind Signaturen? Informell: asymmetrische Verfahren Schlüsselpaar (pk, sk) Mit sk kann signiert werden, Signatur σ sk bleibt geheim Geg. (m, σ) kann mit pk überprüft werden, ob σ gültig pk ist öffentlich, jeder kann überprüfen B. Kaidel Digitale Signaturen: Einführung

16 Was sind Signaturen nicht? (1) Signaturen sind keine Verschlüsselungsverfahren Nachrichten verstecken ist nicht das Ziel Daher: Nachricht kann aus Signatur (teilweise) ableitbar sein B. Kaidel Digitale Signaturen: Einführung

17 Was sind Signaturen nicht? (2) Signieren ist Verschlüsseln mit dem geheimen Schlüssel eines PKE-Verfahrens! FALSCH! Einzige (schlechte) Ausnahme: RSA Verschlüsselungsverfahren können nicht ohne Weiteres als Signaturen verwendet werden! B. Kaidel Digitale Signaturen: Einführung

18 Anwendungen Ideen? B. Kaidel Digitale Signaturen: Einführung

19 Anwendungen Zertifikate (digital signierte Schlüssel) Elektronischer Zahlungsverkehr Betriebssystem-Updates neuer Personalausweis Apps Theorie: Baustein zur Konstruktion anderer Verfahren B. Kaidel Digitale Signaturen: Einführung

20 Definition: Digitale Signaturen - Kap. 1.1 Def. 1: (Digitale Signaturen) Ein digitales Signaturverfahren ist ein Tupel Σ = (Gen, Sign, Vfy) von probabilistischen Poly-Zeit- Algorithmen: B. Kaidel Digitale Signaturen: Einführung

21 Definition: Digitale Signaturen - Kap. 1.1 Def. 1: (Digitale Signaturen) Ein digitales Signaturverfahren ist ein Tupel Σ = (Gen, Sign, Vfy) von probabilistischen Poly-Zeit- Algorithmen: Gen(1 k ) (pk, sk) B. Kaidel Digitale Signaturen: Einführung

22 Definition: Digitale Signaturen - Kap. 1.1 Def. 1: (Digitale Signaturen) Ein digitales Signaturverfahren ist ein Tupel Σ = (Gen, Sign, Vfy) von probabilistischen Poly-Zeit- Algorithmen: Gen(1 k ) (pk, sk) Sign(1 k, sk, m) σ, m {0, 1} p(k), p Polynom B. Kaidel Digitale Signaturen: Einführung

23 Definition: Digitale Signaturen - Kap. 1.1 Def. 1: (Digitale Signaturen) Ein digitales Signaturverfahren ist ein Tupel Σ = (Gen, Sign, Vfy) von probabilistischen Poly-Zeit- Algorithmen: Gen(1 k ) (pk, sk) Sign(1 k, sk, m) σ, m {0, 1} p(k), p Polynom { Vfy(1 k 1, wenn σ gültig,, pk, m, σ) = 0, sonst Anmerkung: 1 k lassen wir im Folgenden weg bei Sign & Vfy B. Kaidel Digitale Signaturen: Einführung

24 Digitale Signaturen: Correctness Correctness: Das Verfahren funktioniert. Formal: (pk, sk) Gen(1 k ) m {0, 1} p(k) : Vfy(pk, m, Sign(sk, m)) = B. Kaidel Digitale Signaturen: Einführung

25 Digitale Signaturen: Soundness Soundness: Das Verfahren ist sicher. Formal: Was ist Sicherheit? Müssen wir definieren! B. Kaidel Digitale Signaturen: Einführung

26 Hinweis: Begriffsdurcheinander Deutsche Übersetzungen (z.b.in Lehrbüchern) von Correctness & Soundness: Correctness ˆ= Durchführbarkeit Soundness ˆ= Korrektheit Problem also: Correctness = Korrektheit?! Deshalb verwenden wir in der VL die englischen Begriffe! B. Kaidel Digitale Signaturen: Einführung

27 Sicherheit - Kap. 1.2 Angreifermodell: Was kann der Angreifer? Welche Angriffsmöglichkeiten stehen zur Verfügung? Angreiferziel: Was muss der Angreifer tun, um das Verfahren zu brechen? B. Kaidel Digitale Signaturen: Einführung

28 Sicherheit - Kap. 1.2 Angreifermodell: Was kann der Angreifer? Welche Angriffsmöglichkeiten stehen zur Verfügung? Angreiferziel: Was muss der Angreifer tun, um das Verfahren zu brechen? Jetzt: Überblick. Später: Formale Definitionen B. Kaidel Digitale Signaturen: Einführung

29 Angreifermodelle/-ziele (Socrative) Room: SIGNATUREN Ideen für Angreifermodelle? Ideen für Angreiferziele? B. Kaidel Digitale Signaturen: Einführung

30 Angreifermodelle 1 a) no-message-attack Angreifer erhält nur pk B. Kaidel Digitale Signaturen: Einführung

31 Angreifermodelle 1 a) no-message-attack Angreifer erhält nur pk. 1 b) non-adaptive chosen-message attack (nacma) Angreifer wählt m 1,..., m q Erhält danach pk und Signaturen σ 1,..., σ q B. Kaidel Digitale Signaturen: Einführung

32 Angreifermodelle 1 a) no-message-attack Angreifer erhält nur pk. 1 b) non-adaptive chosen-message attack (nacma) Angreifer wählt m 1,..., m q Erhält danach pk und Signaturen σ 1,..., σ q 1 c) (adaptive) chosen-mesage attack (CMA) Angreifer erhält pk, wählt dann (adaptiv) m 1,..., m q und erhält Signaturen σ 1,..., σ q Adaptiv: Darf Wahl von m i abhängig von schon bekannten σ j (j < i) und pk machen B. Kaidel Digitale Signaturen: Einführung

33 Angreiferziele Generelles Ziel: Signaturen fälschen B. Kaidel Digitale Signaturen: Einführung

34 Angreiferziele Generelles Ziel: Signaturen fälschen 2 a) Universal Unforgeability (UUF) Angreifer muss vorgegebene Nachricht m signieren m wird zufällig gewählt B. Kaidel Digitale Signaturen: Einführung

35 Angreiferziele Generelles Ziel: Signaturen fälschen 2 a) Universal Unforgeability (UUF) Angreifer muss vorgegebene Nachricht m signieren m wird zufällig gewählt 2 b) Existential Unforgeablility (EUF) Angreifer muss beliebige (von ihm gewählte) Nachricht m signieren B. Kaidel Digitale Signaturen: Einführung

36 Sicherheitsdefinitionen Sicherheitsdefinition ˆ= Angreiferziel + Angreifermodell Wichtige Kombinationen : EUF-CMA EUF-naCMA B. Kaidel Digitale Signaturen: Einführung