Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016

Transkript

1 Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016 Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum

2 Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale Signaturen 4 Public Key Encryption 5 Commitment-Verfahren Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/2016 2

3 Organisation der Vorlesung Einleitung Kurze Einführung in wichtige kryptografische Bausteine Hash Funktionen Digitale Signaturen Verschlüsselungsverfahren (Public Key Encryption) Commitmentverfahren Interaktive Beweissysteme (Nicht-interaktive) Zero-Knowledge Beweissysteme Ringsignaturen Gruppensignaturen Direct Anonymous Attestation Anonymous Credential Systems Weitere Anwendungen Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/2016 3

4 Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale Signaturen 4 Public Key Encryption 5 Commitment-Verfahren Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/2016 4

5 Vorteil und Erfolgswahrscheinlichkeit Im folgenden werden wir Sicherheit oft über den Vorteil Adv x A,y(κ) eines Angreifers A in einem Sicherheitsspiel x gegen Verfahren y definieren. Der Vorteil eines Angreifers wird stets von seiner Erfolgswahrscheinlichkeit SucProb x A,y(κ) abgeleitet, im zugehörigen Sicherheitsspiel zu gewinnen. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/2016 5

6 Vorteil und Erfolgswahrscheinlichkeit Üblicherweise definieren wir Systeme als sicher, wenn Adv x A,y(κ) vernachlässigbar ist, d.h.: Adv x A,y(κ) = negl(κ). Wir erhalten stärkere Sicherheitsgarantien (statistische Sicherheit), wenn wir fordern, dass der Vorteil statistisch klein ist, also: Adv x A,y(κ) = O (2 ) poly(κ). Die stärksten Sicherheitsgarantien erhalten wir, wenn wir perfekte Sicherheit fordern, der Vorteil also gleich 0 sein muss:. Adv x A,y(κ) = 0 Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/2016 6

7 Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale Signaturen 4 Public Key Encryption 5 Commitment-Verfahren Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/2016 7

8 Intuition und Syntax Kryptografische Hashfunktionen werden benutzt um Nachrichten variabler Länge auf Nachrichten mit konstanter, kleiner Länge abzubilden. Eine Hashfunktion H = (H.KGen, H.Eval) besteht aus zwei PPTs. Der probabilistische Schlüsselgenerator hk $ H.KGen(1 κ ) berechnet, gegeben den Sicherheitsparameter, einen Hashschlüssel hk. hk wird veröffentlicht. Der deterministische Hashalgorithmus H.Eval(hk, m) berechnet, gegeben Nachricht m {0, 1} und Hashschlüssel hk, den Hashwert y {0, 1} l. Es gilt l = poly(κ). Wenn der Hashschlüssel aus dem Kontext klar wird, so verwenden wir H(m) oder h(m) kurz für H.Eval(hk, m). Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/2016 8

9 Sicherheit Sicherheit wird mittels des folgenden Spiels zwischen Challenger C und Angreifer A definiert: C berechnet einen Hashschlüssel hk = H.Eval(1 κ ) und sendet diesen an A. A sendet zwei Nachrichten m, m {0, 1} an C. A gewinnt wenn m, m eine Kollision bilden, d.h. m m und h(m) = h(m ). Wir bezeichnen den Vorteil des Angreifers in obigem Spiel zu gewinnen (= seiner Erfolgswkt.) mit Adv hash A,H (κ). Wir sagen, H ist kollisions-resistent (sicher) wenn kein PPT Angreifer A nicht-vernachlässigbaren Vorteil hat. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/2016 9

10 Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale Signaturen 4 Public Key Encryption 5 Commitment-Verfahren Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/

11 Intuition und Syntax Digitale Signaturen werden als digitale Varianten von herkömmlichen Unterschriften verwendet. Eine digitale Signatur Sig = (Sig.KGen, Sig.Sign, Sig.Vf) besteht aus drei PPTs. Der probabilistische Schlüsselgenerator (sk, pk) $ Sig.KGen(1 κ ) berechnet, gegeben den Sicherheitsparameter, ein Schlüsselpaar bestehend aus einem geheimen Schlüssel (Secret Key) sk und einem öffentlichen Schlüssel (Public Key) pk. pk wird veröffentlicht und steht allen Parteien zur Verfügung. Der Signaturalgorithmus Sig.Sign(sk, m) berechnet, gegeben Nachricht m M im Nachrichtenraum M und Secret Key sk, die Signatur σ Σ im Signaturraum Σ. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/

12 Intuition und Syntax Der deterministische Verifikationsalgorithmus Sign.Vf gibt, gegeben public key pk, Nachricht m und (potentielle) Signatur σ, 1 (true) aus sofern σ tatsächlich eine Signatur über m unter Public Key pk ist. Andernfalls wird 0 (false) ausgegeben. Wenn das Signaturverfahren und die Signaturschlüssel aus dem Kontext klar werden, so verwenden wir Sign(sk, m) (oder Sign(m)) kurz für Sig.Sign(sk, m) und Vf(pk, m, σ) (oder Vf(m, σ)) für Sig.Vf(pk, m, σ). Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/

13 Korrektheit Korrektheit sichert, dass das Signaturverfahren für alle laut Spezifikation generierten Werte funktioniert, d.h. für alle m M muss gelten: [ ] Vf(pk, m, Sign(sk, m)) = 1; Pr (sk, pk) $ KGen(1 κ = 1 ) wobei die Wahrscheinlichkeit über die von KGen und Sign verbrauchten zufälligen Münzen berechnet wird. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/

14 Sicherheit Existential Unforgeability under Adaptive Chosen Message Attacks Sicherheit wird mittels des folgenden Spiels zwischen Challenger C und Angreifer A definiert: C berechnet (sk, pk) $ Sig.KGen(1 κ ) und sendet pk an A. A erhält adaptiven Zugriff auf ein Signaturorakel für beliebig viele Anfragen q. Auf jede Anfrage m i M erhält A σ i mit i [1 : q] zurück, so dass Vf(pk, m i, σ i ) = 1. A gibt m, σ aus. A gewinnt wenn m / {m 1,..., m q } und Vf(pk, m, σ ). Wir bezeichnen den Vorteil des Angreifers (=Erfolgswahrscheinlichkeit) in obigem Spiel zu gewinnen mit Adv sig A,Sig (κ). Wir sagen, Sig ist sicher (gegen existentielle Fälschungen unter adaptiven Angriffen) wenn kein PPTAngreifer A nicht-vernachlässigbaren Vorteil hat. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/

15 Sicherheit Strong Existential Unforgeability under Adaptive Chosen Message Attacks Wir sagen Sig ist sicher (gegen starke existentielle Fälschungen unter adaptiven Angriffen oder strongly secure) wenn kein PPT Angreifer A nicht-vernachlässigbaren Vorteil hat und wir in obigem Spiel die Bedingung m / {m 1,..., m q } durch (m, σ ) / {(m 1, σ 1 )..., (m q, σ q )} ersetzen. Die Modifikation erlaubt A Fälschungen über bereits angefragte Nachrichten auszugeben, sofern die entsprechende Signatur σ neu ist. Falls wir zusätzlich fordern, dass q = 1, so sprechen wir hier und für alle weiteren betrachteten Primitiven von Einmalsicherheit (one-time security). Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/

16 Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale Signaturen 4 Public Key Encryption 5 Commitment-Verfahren Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/

17 Intuition und Syntax Mit Public Key Encryption (PKE) Systemen können Nachrichten an einen einzelnen Empfänger verschlüsselt werden. Eine PKE-System PKE = (PKE.KGen, PKE.Enc, PKE.Dec) besteht aus drei PPTs. Der probabilistische Schlüsselgenerator (sk, pk) $ Sig.KGen(1 κ ) berechnet, gegeben den Sicherheitsparameter, ein Schlüsselpaar bestehend aus einem geheimen Schlüssel (Secret Key) sk und einem öffentlichen Schlüssel (public key) pk. pk wird veröffentlicht. Der Verschlüsselungsalgorithmus PKE.Enc(pk, m) berechnet, gegeben Nachricht m M und Public Key sk, den Ciphertext c C im Ciphertextraum C. Intern wird dabei zusätzlich ein zufälliger Wert r R aus dem Randomnessraum R gezogen. Nur bei Bedarf machen wir r explizit. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/

18 Intuition und Syntax Der deterministische Entschlüsselungsalgorithmus PKE.Dec gibt, gegeben public key sk, und (potentielen) Ciphertext c, Plaintextnachricht m aus, sofern c ein gültiger Ciphertext ist. Andernfalls wird ein Fehlersymbol ausgegeben. Wenn das PKE-Verfahren und die Schlüssel aus dem Kontext klar werden, so verwenden wir Enc(pk, m) (oder Enc(m)) kurz für PKE.Enc(pk, m) und Dec(sk, c) (oder Dec(c)) für PKE.Dec(sk, c). Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/

19 Korrektheit Korrektheit sichert, dass das PKE-Verfahren für alle laut Spezifikation generierten Werte funktioniert, d.h. für alle m M muss gelten: [ ] Dec(sk, Enc(pk, m)) = 1; Pr (sk, pk) $ KGen(1 κ = 1 ) wobei die Wahrscheinlichkeit über die von KGen und Enc verbrauchten zufälligen Münzen berechnet wird. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/

20 Sicherheit Sicherheit wird mittels des folgenden Spiels zwischen Challenger C und Angreifer A definiert: C berechnet (sk, pk) $ PKE.KGen(1 κ ) und sendet pk an A. A erhält adaptiven Zugriff auf ein Entschlüsselungsorakel. Auf jede Anfrage c i M mit i [1 : q 1 ] erhält A Antwort m i zurück, so dass Dec(sk, c i ) = m i. A sendet zwei unterschiedliche Nachrichten m 0, m 1 (gleicher Länge) an C. C zieht b $ {0, 1} und gibt c $ Enc(pk, m b ) aus. A erhält erneut Zugriff auf das Entschlüsselungsorakel für weitere q 2 Anfragen. A stellt insgesamt q = q 1 + q 2 Anfragen. A gibt b {0, 1} aus. A gewinnt wenn b = b. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/

21 Sicherheit Wir bezeichnen die Wkt. des Angreifers in obigem Spiel zu gewinnen (auch Erfolgswahrscheinlichkeit genannt) mit SucProb pke A,PKE (κ). Den Vorteil von A bezeichnen wir mit (κ). Es gilt Adv pke A,PKE Adv pke A,PKE (κ) := SucProb pke A,PKE (κ) 1/2. Wir sagen, PKE ist sicher (unter adaptiven chosen-ciphertext Angriffen) wenn kein PPTAngreifer A nicht-vernachlässigbaren Vorteil hat. Wir sagen PKE ist semantisch sicher (sicher unter chosen-plaintext Angriffen) falls q = 0. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/

22 Übersicht 1 Vorteil und Sicherheit 2 Hash Funktionen 3 Digitale Signaturen 4 Public Key Encryption 5 Commitment-Verfahren Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/

23 Intuition und Syntax Mit einem Commitment Verfahren (COM) können sich Parteien auf Nachrichten festlegen ohne sie preiszugeben. Commitments können zu einem späteren Zeitpunkt geöffnet werden um nachzuweisen, welche Nachricht das Commitment tatsächlich enthält. Eine Commitment Verfahren besteht aus drei PPTs: COM = (COM.KGen, COM.Enc, COM.Dec). Der probabilistische Schlüsselgenerator ck $ COM.KGen(1 κ ) berechnet, gegeben den Sicherheitsparameter, einen commitment Schlüssel ck. ck wird veröffentlicht. Der Commitmentalgorithmus COM.commit(ck, m) berechnet, gegeben Nachricht m M und ck, das Commitment d D im Commitmentraum D und einen (nachrichtenabhängigen) Öffnungswert ov OV im Öffnungswertraum OV. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/

24 Intuition und Syntax Der deterministische Öffnungsalgorithmus COM.open gibt, gegeben Commitmentschlüssel ck, Nachricht m, Commitment d, und Öffnungswert ov den Wert 1 aus, wenn d tatsächlich ein Commitment von Nachricht m unter ck ist. Andernfalls wird 0 ausgegeben. Wenn das COM-Verfahren, die Schlüssel und die Nachricht aus dem Kontext klar werden, so verwenden wir commit(ck, m) (oder commit(m)) kurz für COM.commit(ck, m) und open(ck, m, d, ov) (oder open(m, d, ov) open(d, ov) open(d)) für COM.open(ck, m, d, ov). Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/

25 Korrektheit Korrektheit sichert, dass das COM-Verfahren für alle laut Spezifikation generierten Werte funktioniert, d.h. für alle m M muss gelten: [ ] open(ck, m, d, ov) = 1; Pr (d, ov) $ commit(ck, m), ck $ KGen(1 κ = 1, ) wobei die Wahrscheinlichkeit über die von KGen und commit verbrauchten zufälligen Münzen berechnet wird. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/

26 Sicherheit Binding Commitmentverfahren müssen zwei Sicherheitseigenschaften erfüllen: Die erste die Binding-Eigenschaft wird mittels des folgenden Spiels zwischen Challenger C und Angreifer A definiert: C berechnet ck $ COM.KGen(1 κ ) und sendet diesen an den A. A berechnet d und zwei Paare (m, ov) und (m, ov ) und gibt sie an C. A gewinnt wenn m m und open(ck, m, d, ov) = 1 = open(ck, m, d, ov ). Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/

27 Sicherheit Binding Wir bezeichnen den Vorteil des Angreifers in obigem Spiel zu gewinnen (=Erfolgswahrscheinlichkeit) mit Adv bind A,COM (κ). Wir sagen, COM ist binding, wenn kein PPT Angreifer A nicht-vernachlässigbaren Vorteil hat. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/

28 Sicherheit Hiding Die zweite Sicherheitseigenschaft die Hiding-Eigenschaft wird mittels des folgenden Spiels zwischen Challenger C und Angreifer A definiert: C berechnet ck $ COM.KGen(1 κ ) und sendet den Wert an A. A berechnet zwei unterschiedliche Nachrichten (gleicher Länge) m 0, m 1 und gibt sie an C. C zieht b $ {0, 1} und sendet d = commit(ck, m b ) an C. A gibt b {0, 1} aus. A gewinnt wenn b = b. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/

29 Sicherheit Hiding Wir bezeichnen die Wkt. des Angreifers in obigem Spiel zu gewinnen (auch Erfolgswahrscheinlichkeit genannt) mit SucProb hid A,COM (κ). Den Vorteil von A bezeichnen wir mit (κ). Es gilt Adv hid A,COM Adv hid A,COM (κ) = SucProb hid A,COM (κ) 1/2. Wir sagen, COM ist hiding, wenn kein PPTAngreifer A nicht-vernachlässigbaren Vorteil hat. Sven Schäge, Fakultät für Mathematik, Ruhr-Universität Bochum Privacy-Preserving Authentication WS 2015/