IT-Security. Teil 15: Zufall

Transkript

1 IT-Security Teil 15: Zufall

2 Literatur [15-1] generator [15-2] Description.html [15-3] [15-4] 2

3 Übersicht Zufallsgeneratoren (Pseudo-)Zufallsgeneratoren 3

4 Erzeugung von echten Zufallszahlen I Beobachtung der Zeitspanne zwischen Emissionen beim radioaktiven Zerfall Messung thermischen Rauschens, z. B. von einer Diode. Messung der Zugriffszeiten auf Blöcke auf einer Platte Messung der Zeitdifferenzen von Tastatureingaben Analyse von Audio-/Videodaten von einer stark belebten Kreuzung Diese Rohdaten müssen in der Regel noch nachbearbeitet werden. 4

5 Erzeugung von echten Zufallszahlen II Es ist recht schwierig, an einem Computer, der eigentlich ein deterministischer Automat ist, echten Zufall ohne Zusatzgeräte zu erzeugen. Ein gutes Verfahren kombiniert verschiedene Methoden: Analyse der Tastatureingaben Analyse von Mausbewegungen Uhrzeit auf ms genau Positionierungszeiten der Platte (nicht SSD) Analyse von Transfers auf dem LAN Es werden von diesen Daten immer die niederwertigsten Bits benutzt. Diese Daten werden dann kombiniert und bilden einen Zufallswert. 5

6 Zufallsgeneratoren Zufallsbitgenerator = Random Bit Generator = Gerät oder Verfahren, das eine Sequenz statistisch unabhängiger und gleich verteilter Bitfolgen erzeugt Pseudozufallsbitgenerator = PZBG = Pseudo Random Number Generator = Gerät oder Verfahren, das einen deterministischen Algorithmus realisiert, als Eingabe eine zufällige Bitfolge (Seed) erhält und eine Bitfolge produziert, die den Eindruck der Zufälligkeit erweckt. Seed = möglichst zufälliger Startwert eines PZBG 6

7 Beispiele für nicht-kryptographische Verfahren I Verfahren 1 (Linearer Kongruenzgenerator): Parameter: a (Multiplikator), b (Inkrement) und m (Modul) Startwert y 0 Produziert die Folge y 1, y 2, y 3 etc. y i = (a*y i-1 + b) MOD m Der Generator hat bei guter Wahl von a, b und m die maximale Periodenlänge von m. Bei schlechter Wahl ist er vollkommen ungeeignet. Die Werte liegen zwischen 0 und m-1. Beispiele für gute Werte: a b m

8 Beispiele für nicht-kryptographische Verfahren II Verfahren 2 (Quadratischer Kongruenzgenerator): Parameter: a, b, c und m Startwert y 0, produziert die Bitfolge y 1, y 2, y 3 etc. y i = (a*y 2 i-1+ b*y i-1 + c) MOD m Verfahren 3 (Kubischer Kongruenzgenerator): Parameter: a, b, c, d und m Startwert y 0, produziert die Bitfolge y 1, y 2, y 3 etc. y i = (a*y 3 i-1+ b*y 2 i-1+ c*y i-1 + d) MOD m Alle drei Varianten sind kryptographisch unbrauchbar, da auch ohne Kenntnis der Werte für a,... y aus der Reihe beobachteter Werte y i, y i+1,..., y i+j die folgenden korrekten Werte bestimmt werden können. 8

9 Beispiel für Korrekturverfahren Wenn ein Pseudozufallsbitgenerator nicht gleich verteilte, aber unkorrelierte Bitfolgen erzeugt: 1) Bitfolge wird in Paare aufgeteilt. 2) Alle 00- und 11-Paare werden verworfen. 3) Jedes 01-Paar wird durch eine 1 ersetzt. 4) Jedes 10-Paar wird durch eine 0 ersetzt. Wenn keine Korrelation vorliegt, erzeugt dieses Verfahren unkorrelierte und gleich verteilte Bitfolgen. 9

10 Bedingung für kryptographischen PZBG Ein Pseudozufallsbitgenerator (PZBG) besteht den Next Bit Test, wenn kein Algorithmus mit polynominalen Aufwand existiert, der mit der Eingabe der ersten vom PZBG erzeugten m Bits als Ausgabe das (m+1)ste Bit mit einer Wahrscheinlichkeit größer als 0,5 vorhersagen kann. Ein PZBG besteht den Next Bit Test, wenn er alle statistischen Tests besteht. Ein PZBG wird kryptographisch genannt, wenn er den Next Bit Test besteht. 10

11 Kryptographisch sicheres Verfahren (ANSI X9.17) 128Bits[] RandomX917(128Bits seed, int m, 128Bits key) { 128Bits q, r[]; r:= new array[m] of 128Bits; q:= AES(key,dateTime()); for (int i:=0;i<m;i++) { r[i]:= AES(key,q XOR seed); seed:= AES(key,q XOR r[i]); } return r; } Dies ist die Version mit dem AES (Original war mit 3DES): key = geheimer Schlüssel seed = geheimer Zufallswert DateTime() liefert die aktuelle Uhrzeit mit Tag AES(a,b) = Verschlüsselung von b mit AES mit dem Schlüssel a Siehe: [14-3] 11

12 RSA-Generator I int RSA(int seed, int m, int e, n) { r:= new array[m] of Bit; v:= seed; for (int i:=0;i<m;i++) { w:= RSA(v,e,n); r[]:= bit 0 of w v:= w; } return r; } Es wird ein Seed mehrfach hintereinander verschlüsselt. Vorbereitung: Bestimmung von n, p, q und e wie für das RSA-Verfahren Bei jedem Durchlauf wird von w das niederwertigste Bit benutzt. m ist die Anzahl der zu generierenden Bits bzw. Array-Elemente. Es wird ein Array r von m Bits geliefert. 12

13 RSA-Generator II Der Rechenaufwand ist hoch, da RSA ist nicht effizient ist. Für bestimmte Werte von n können mehrere Bits benutzt werden. Die Anzahl davon lässt sich leider nicht allgemein bestimmen. Bedingung für e: 1 < e < φ(n) und ggt(e,φ(n))=1 Die Periodenlänge ist bei der oben angegebenen Wahl und mit p= 2*s+1 und q=2*t+1, wobei s und t Primzahlen sind: min {s-1, t-1, kgv(s-1, t-1)} Das kleinste gemeinsame Vielfache lässt sich aus dem ggt() berechnen, denn kgv(a,b)*ggt(a,b)= a*b. 13

14 Blum-Blum-Shub-Generator I Dieser Algorithmus wurde 1986 von Leonore Blum, Manuel Blum und Michael Shub entwickelt, daher der Name. Die Berechnung der Werte erfolgt nach: x n+1 =x n 2 mod n mit n=p*q p und q sind analog zum RSA-Verfahren zwei ungleiche große Primzahlen, die jedoch beide kongruent zu 3 modulo 4 sein müssen, also p q 3 (mod 4) muss gelten. Der Initialwert x 0 der Folge ist der Seed, wobei ggt(seed,n)=1 gilt. Von jedem Glied der Folge wird das niederwertigste Bit genommen. Die Folge wird iterativ berechnet. Es ist aber auch möglich einzelne Glieder direkt zu berechnen: x i =x 0 2**i mod kgv(p-1,q-1) mod n Damit lassen sich mit mehreren CPUs parallel Glieder berechnen. 14

15 Blum-Blum-Shub-Generator II proc prepare { int p,q:= random(primes p,q with p,q mod 4 = 3 and p<>q) int n= p*q int seed:= random([1,n-1]) with ggt(seed,n)=1 } int func BBS(int seed, m, n) { int w,v:= seed r:= new array[m] of Bit for (int i:= 0;i<m;i++) { w:= v*v mod n r[]:= bit 0 of w v:= w } return r } 15

16 Blum-Blum-Shub-Generator III Das kleinste gemeinsame Vielfache kgv lässt sich entweder über eigene Algorithmen oder über den ggt berechnen: kgv(a,b) = a*b /ggt(a,b) Bedingungen zur Wahl von p und q (bzw. n=p*q): n sollte dezimal mindestens 200 Stellen haben. p und q sollte in derselben Größenordnung liegen, aber nicht zu dicht, z.b. 2 < p/q <1000 p-1 und p+1 bzw. q-1 und q+1 sollten jeweils einen großen Prim-Faktor haben, der größer als 4. Wurzel aus n ist. (das sind ähnliche Forderungen wie an RSA) 16

17 Blum-Blum-Shub-Generator IV Auch hier wird das niederwertigste Bit bei jedem Durchlauf benutzt. Dies lässt sich unter bestimmten Bedingungen verbessern: Es können die floor(ld ld n) Bits aus jedem generierten Wert entnommen werden (ld = log 2 ). Siehe: [10-4] 17

18 Empfehlungen/Hinweise Die simulierten Zufallsgeräte innerhalb von virtuellen Maschinen sind in der Regel kryptographisch unbrauchbar, da deren Output vorher gesagt werden kann. Es muss also echte Hardware benutzt werden. 18

19 Nach dieser Anstrengung etwas Entspannung... 19