Asymmetrische Verschlüsselungsverfahren

Transkript

1 Asymmetrische Verschlüsselungsverfahren Digitale Signaturen Prof. Jörn Müller-Quade mit Folien von G. Hartung und B. Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK J. Müller-Quade Asymmetrische Verschlüsselungsverfahren KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft

2 Outline Einführung Definition Textbook-RSA-Signaturen Sicherheit RSA-FDH & Random-Oracle Model RSA-PSS J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

3 Hinweis Folien heute großteils aus VL Digitale Signaturen Auf der Website gibt es auch weitere Informationen (Skript etc.) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

4 Einführung (I) Ziel: Kryptographische Verfahren, die das gleiche leisten, wie eine Unterschrift. Folgendes soll sichergestellt werden: Authentizität Dokument von einer bestimmten Person signiert Integrität signiertes Dokument ist unverändert J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

5 Einführung (II) Auf Papier: bekannt (aber wie gut ist das eigentlich?) Digital: Signieren von Bitstrings aus {0, 1} Programme, Datenbanken, Websites, s, J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

6 Was sind Signaturen? Informell: asymmetrische Verfahren Schlüsselpaar (pk, sk) Mit sk kann signiert werden, Signatur σ sk bleibt geheim Geg. (m, σ) kann mit pk überprüft werden, ob σ gültig pk ist öffentlich, jeder kann überprüfen J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

7 Was sind Signaturen nicht? (1) Signaturen sind keine Verschlüsselungsverfahren Nachrichten verstecken ist nicht das Ziel Daher: Nachricht kann aus Signatur (teilweise) ableitbar sein J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

8 Was sind Signaturen nicht? (2) Signieren ist Verschlüsseln mit dem geheimen Schlüssel eines PKE-Verfahrens! FALSCH! Einzige (schlechte) Ausnahme: Textbook-RSA Verschlüsselungsverfahren können nicht ohne Weiteres als Signaturen verwendet werden! J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

9 Definition: Digitale Signaturen Def. 1: (Digitale Signaturen) Ein digitales Signaturverfahren ist ein Tupel Σ = (Gen, Sign, Vfy) von probabilistischen Poly-Zeit- Algorithmen: J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

10 Definition: Digitale Signaturen Def. 1: (Digitale Signaturen) Ein digitales Signaturverfahren ist ein Tupel Σ = (Gen, Sign, Vfy) von probabilistischen Poly-Zeit- Algorithmen: Gen(1 k ) (pk, sk) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

11 Definition: Digitale Signaturen Def. 1: (Digitale Signaturen) Ein digitales Signaturverfahren ist ein Tupel Σ = (Gen, Sign, Vfy) von probabilistischen Poly-Zeit- Algorithmen: Gen(1 k ) (pk, sk) Sign(1 k, sk, m) σ, m {0, 1} p(k), p Polynom J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

12 Definition: Digitale Signaturen Def. 1: (Digitale Signaturen) Ein digitales Signaturverfahren ist ein Tupel Σ = (Gen, Sign, Vfy) von probabilistischen Poly-Zeit- Algorithmen: Gen(1 k ) (pk, sk) Sign(1 k, sk, m) σ, m {0, 1} p(k), p Polynom { Vfy(1 k 1, wenn σ gültig,, pk, m, σ) = 0, sonst Anmerkung: 1 k lassen wir im Folgenden weg bei Sign & Vfy J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

13 Digitale Signaturen: Correctness Correctness: Das Verfahren funktioniert. Formal: (pk, sk) Gen(1 k ) m {0, 1} p(k) : Vfy(pk, m, Sign(sk, m)) = J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

14 Digitale Signaturen: Sicherheit Sicherheit: Es ist nicht möglich effizient Signaturen zu fälschen. Formal: Später! J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

15 Wiederholung: RSA-Annahme Setting: N = P Q, P, Q große Primzahlen ϕ(n) = (P 1)(Q 1) = ZN (Eulersche Phi-Funktion) Wähle zufällig e N, sodass ggt(e, ϕ(n)) = 1. Dann existiert d N mit e d 1 mod ϕ(n). Für x Z N gilt dann auch x e d x mod N J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

16 Wiederholung: RSA-Annahme Setting: N = P Q, P, Q große Primzahlen ϕ(n) = (P 1)(Q 1) = ZN (Eulersche Phi-Funktion) Wähle zufällig e N, sodass ggt(e, ϕ(n)) = 1. Dann existiert d N mit e d 1 mod ϕ(n). Für x Z N gilt dann auch x e d x mod N. RSA-Problem: Geg. N, e (wie oben definiert) und y Z N, finde x Z N : x e y mod N J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

17 Wiederholung: RSA-Annahme RSA-Annahme: PPT A gilt: [ Pr A(1 k, N, e, y) = x : für eine in k vernachlässigbare Funktion negl. x e ] y mod N negl(k) N, e, y wie oben Informell: Kein PPT-Angreifer löst das RSA-Problem mit nicht-vernachlässigbarer Erfolgswahrscheinlichkeit J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

18 Textbook-RSA-Signaturen Gen(1 k ) : ziehe zufällig Primzahlen P, Q N := P Q Wähle e > 2 mit ggt(e, ϕ(n)) = 1 d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : σ e? = m (mod N) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

19 Textbook-RSA-Signaturen Gen(1 k ) : ziehe zufällig Primzahlen P, Q N := P Q Wähle e > 2 mit ggt(e, ϕ(n)) = 1 d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : σ e? = m (mod N) Korrektheit: J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

20 Textbook-RSA-Signaturen Gen(1 k ) : ziehe zufällig Primzahlen P, Q N := P Q Wähle e > 2 mit ggt(e, ϕ(n)) = 1 d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : σ e? = m (mod N) Korrektheit: σ e (m d ) e m de mod ϕ(n) m 1 m (mod N) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

21 Sicherheit Textbook-RSA-Signaturen sind nicht sicher! J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

22 Sicherheit Textbook-RSA-Signaturen sind nicht sicher! Sinnlose Fälschungen Wähle σ Z N berechne m := (σ ) e mod N gib (m, σ ) als Fälschung aus Achtung: Auch wenn die Nachricht wohl sinnlos ist, kann dies ein gefährlicher Angriff sein! J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

23 Sicherheit Textbook-RSA-Signaturen sind nicht sicher! Sinnlose Fälschungen Wähle σ Z N berechne m := (σ ) e mod N gib (m, σ ) als Fälschung aus Achtung: Auch wenn die Nachricht wohl sinnlos ist, kann dies ein gefährlicher Angriff sein! Homomorph: Wenn σ 1, σ 2 gültige Signaturen für m 1, m 2 sind, dann ist σ 3 := σ 1 σ 2 mod N gültig für m 3 := m 1 m 2 mod N: σ e 3 (σ 1σ 2 ) e σ e 1 σe 2 m 1m 2 m 3 (mod N) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

24 EUF-CMA-Sicherheitsexperiment C EUF-CMA A J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

25 EUF-CMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) C EUF-CMA pk A J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

26 EUF-CMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) C EUF-CMA pk A m i σ i J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

27 EUF-CMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) C EUF-CMA pk A m i σ i Anfragen nacheinander q = q(k) Anfragen q Polynom, von A gewählt J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

28 EUF-CMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) C EUF-CMA pk A m i σ i Anfragen nacheinander q = q(k) Anfragen q Polynom, von A gewählt m, σ Ver(pk, m, σ ) = 1? m / {m 1,..., m q }? A gewinnt, falls Vfy(pk, m, σ ) = 1 und m / {m 1,..., m q } J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

29 Definition: EUF-CMA Def. 2: (EUF-CMA) Ein digitales Signaturverfahren Σ = (Gen, Sign, Vfy) ist EUF-CMA-sicher, falls für alle PPT A gilt, dass J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

30 Definition: EUF-CMA Def. 2: (EUF-CMA) Ein digitales Signaturverfahren Σ = (Gen, Sign, Vfy) ist EUF-CMA-sicher, falls für alle PPT A gilt, dass [ Pr A C EUF-CMA(pk) = (m, σ ) : Vfy(pk, m, σ ] ) = 1 m negl(k) / {m 1,..., m q } J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

31 Definition: EUF-CMA Def. 2: (EUF-CMA) Ein digitales Signaturverfahren Σ = (Gen, Sign, Vfy) ist EUF-CMA-sicher, falls für alle PPT A gilt, dass [ Pr A C EUF-CMA(pk) = (m, σ ) : Vfy(pk, m, σ ] ) = 1 m / {m 1,..., m q } negl(k) für eine im Sicherheitsparameter k vernachlässigbare Funktion negl J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

32 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

33 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

34 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

35 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) Vfy(pk, m, σ) : J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

36 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) Vfy(pk, m, σ) : σ e? H(m) (mod N) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

37 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) Vfy(pk, m, σ) : σ e? H(m) (mod N) Korrektheit: wie immer (Übung) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

38 Sicherheit von RSA-FDH Theorem Wenn die RSA-Annahme gilt, dann ist das RSA-FDH-Signaturverfahren EUF-CMA-sicher J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

39 Sicherheit von RSA-FDH Theorem Wenn die RSA-Annahme gilt, dann ist das RSA-FDH-Signaturverfahren EUF-CMA-sicher im Random-Oracle-Modell J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

40 Sicherheit von RSA-FDH Theorem Wenn die RSA-Annahme gilt, dann ist das RSA-FDH-Signaturverfahren EUF-CMA-sicher im Random-Oracle-Modell. Random-Oracle-Modell? J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

41 Random-Oracle-Modell (ROM) Heuristik betrachte idealisierte Hash-Funktion H Ausgabe von H(m) gleichverteilt zufällig für jede Eingabe m H modelliert als Orakel, das die Hashwerte ausgibt ( Random Oracle ) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

42 Random-Oracle-Modell (ROM) Heuristik betrachte idealisierte Hash-Funktion H Ausgabe von H(m) gleichverteilt zufällig für jede Eingabe m H modelliert als Orakel, das die Hashwerte ausgibt ( Random Oracle ) Das H-Orakel: besitzt einen internen Key-Value-Store T implementiert folgenden Algorithmus : if m in T : return T [m] else: y Z N T [m] := y return y J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

43 Random-Oracle-Modell (ROM): Diskussion Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

44 Random-Oracle-Modell (ROM): Diskussion Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

45 Random-Oracle-Modell (ROM): Diskussion Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar Fakt: Lösungen im ROM oft effizienter als Lösungen im Standardmodell Beispiel: RSA-basierte Signaturen J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

46 Random-Oracle-Modell (ROM): Diskussion Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar Fakt: Lösungen im ROM oft effizienter als Lösungen im Standardmodell Beispiel: RSA-basierte Signaturen Fakt: Lösungen im ROM oft einfacher zu konstruieren Vorstufe zur Lösung im Standardmodell J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

47 Random-Oracle-Modell (ROM): Diskussion Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar Fakt: Lösungen im ROM oft effizienter als Lösungen im Standardmodell Beispiel: RSA-basierte Signaturen Fakt: Lösungen im ROM oft einfacher zu konstruieren Vorstufe zur Lösung im Standardmodell = ROM vereinfacht Sicherheitsbeweise oder ermöglicht sie erst J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

48 Random-Oracle-Modell (ROM): Diskussion Fakt: für viele Konstruktionen im ROM sind keine realen Angriffe bekannt J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

49 Random-Oracle-Modell (ROM): Diskussion Fakt: für viele Konstruktionen im ROM sind keine realen Angriffe bekannt Fakt: Es existieren kryptographische Konstruktionen, die im ROM als sicher bewiesen werden können, aber mit jeder realen Hash-Funktion unsicher sind. Aber: diese Konstruktionen sind sehr künstlich J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

50 Random-Oracle-Modell (ROM): Diskussion Fakt: für viele Konstruktionen im ROM sind keine realen Angriffe bekannt Fakt: Es existieren kryptographische Konstruktionen, die im ROM als sicher bewiesen werden können, aber mit jeder realen Hash-Funktion unsicher sind. Aber: diese Konstruktionen sind sehr künstlich Zusammenfassung: ROM liefert effiziente Konstruktionen funktioniert in der Praxis gut ist (Über-)Idealisierung ROM insgesamt umstritten J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

51 RSA-FDH: Sicherheitsbeweis Theorem Wenn H als Random Oracle modelliert wird, dann existiert für jeden Angreifer A, der die EUF-CMA-Sicherheit von RSA-FDH in Zeit t A mit Erfolgswahrscheinlichkeit ɛ A bricht und dabei höchstens q H Anfragen das H-Orakel stellt ein Angreifer B der das RSA-Problem in Zeit t B t A mit Erfolgswahrscheinlichkeit löst. ɛ B ɛ A 1/N q H J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

52 RSA-FDH: Sicherheitsbeweis Beweisidee: A muss Hashwert-Anfragen an das RO stellen auch für m Fälschung für m ohne vorherige Hashwert-Anfrage an das RO quasi unmöglich! RO wählt Hashwert echt zufällig A hat nur vernachlässigbare Wkt. dies richtig vorherzusehen J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

53 RSA-FDH: Sicherheitsbeweis Beweisidee: A muss Hashwert-Anfragen an das RO stellen auch für m Fälschung für m ohne vorherige Hashwert-Anfrage an das RO quasi unmöglich! RO wählt Hashwert echt zufällig A hat nur vernachlässigbare Wkt. dies richtig vorherzusehen. B kann das RO für A implementieren = ersetze Random-Oracle-Implementierung: rate Index i der Nachricht, für die A eine Signatur fälschen wird wähle alle anderen Hash-Werte h j (j = i) so, dass eine Signatur bekannt ist wähle h i = y J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

54 RSA-FDH: Beweisübersicht RSA-Problem EUF-CMA C RSA B A J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

55 RSA-FDH: Beweisübersicht RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

56 RSA-FDH: Beweisübersicht RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

57 RSA-FDH: Beweisübersicht RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

58 RSA-FDH: Beweisübersicht RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

59 RSA-FDH: Beweisübersicht RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

60 RSA-FDH: Beweisübersicht RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? berechne σ geeignet σ J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

61 RSA-FDH: Beweisübersicht RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? berechne σ geeignet σ 2 m, σ J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

62 RSA-FDH: Beweisübersicht RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? berechne σ geeignet σ 2 x m, σ J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

63 RSA-FDH & RSA-PSS RSA-FDH hat eine schlechte Redutkion im Sicherheitsbeweis nicht tight hoher Verlust Sorgt dafür, dass Parameter in der Praxis sehr groß gewählt werden müssen Besseres Verfahren: RSA-PSS J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

64 RSA-PSS RSA-basiertes Signaturverfahren [BR96] Vorverarbeitung von m EUF-CMA-sicher im ROM, wenn RSA-Annahme gilt Sicherheitsbeweis mit geringerem Verlust Variante standardisiert in PKCS #1 seit Version 2.1 (Juni 2002) Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

65 RSA-PSS RSA-basiertes Signaturverfahren [BR96] Vorverarbeitung von m EUF-CMA-sicher im ROM, wenn RSA-Annahme gilt Sicherheitsbeweis mit geringerem Verlust Variante standardisiert in PKCS #1 seit Version 2.1 (Juni 2002) Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := PSS-Encode(m) d (mod N) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

66 RSA-PSS RSA-basiertes Signaturverfahren [BR96] Vorverarbeitung von m EUF-CMA-sicher im ROM, wenn RSA-Annahme gilt Sicherheitsbeweis mit geringerem Verlust Variante standardisiert in PKCS #1 seit Version 2.1 (Juni 2002) Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := PSS-Encode(m) d (mod N) Vfy(pk, m, σ) : Berechne y = σ e (mod N) gib 1 aus, gdw. y gültige Codierung von m ist J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

67 RSA-PSS PSS-Encoding: benötigt zwei Hash-Fkt. G, H zwei Parameter k 0 und k 1 H : {0, 1} {0, 1} k 1 G : {0, 1} k 1 {0, 1} n k 1 1 G 1 : erste k 0 bits von G G 2 : Rest von G w {0, 1} k 1 : G(w) = G 1 (w) G 2 (w) J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

68 RSA-PSS PSS-Encoding: benötigt zwei Hash-Fkt. G, H zwei Parameter k 0 und k 1 H : {0, 1} {0, 1} k 1 G : {0, 1} k 1 {0, 1} n k 1 1 G 1 : erste k 0 bits von G G 2 : Rest von G w {0, 1} k 1 : G(w) = G 1 (w) G 2 (w) wähle r {0, 1} k 0 zufällig w := H(m r) r := G 1 (w) r γ := G 2 (w) encoding := 0 w r γ J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

69 RSA-PSS PSS-Encoding: benötigt zwei Hash-Fkt. G, H zwei Parameter k 0 und k 1 H : {0, 1} {0, 1} k 1 G : {0, 1} k 1 {0, 1} n k 1 1 G 1 : erste k 0 bits von G G 2 : Rest von G w {0, 1} k 1 : G(w) = G 1 (w) G 2 (w) wähle r {0, 1} k 0 zufällig w := H(m r) r := G 1 (w) r γ := G 2 (w) encoding := 0 w r γ Graphisch: siehe [BR96] zugreifbar aus Universitäts-Netzwerk aus urheberrechtlichen Gründen hier nicht wiedergegeben J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

70 RSA-PSS: Verifikation berechne y = σ e mod N falls erstes Bit nicht 0: gib 0 aus. teile y in 0, w, r, γ berechne r := r G 1 (w ) Gib 1 aus falls sonst 0. γ? = G2 (w ) und w? = H(r ), J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

71 RSA-PSS: Sicherheit Wenn G und H als Random-Oracles modelliert werden, dann existiert für jeden Angreifer A, der die EUF-CMA-Sicherheit von RSA-PSS in Zeit t A mit Erfolgswahrscheinlichkeit ɛ A bricht und dabei insgesamt höchstens q hash Anfragen das G- bzw. H-Orakel stellt ein Angreifer B der das RSA-Problem in Zeit t B mit Erfolgswahrscheinlichkeit ɛ B löst, wobei ( ) ɛ B ɛ A 2(q + q hash ) (2 k k 1) t B t A + (q + q hash + 1) k 0 Θ(n 3 ) löst J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

72 RSA-PSS: Sicherheit Wenn G und H als Random-Oracles modelliert werden, dann existiert für jeden Angreifer A, der die EUF-CMA-Sicherheit von RSA-PSS in Zeit t A mit Erfolgswahrscheinlichkeit ɛ A bricht und dabei insgesamt höchstens q hash Anfragen das G- bzw. H-Orakel stellt ein Angreifer B der das RSA-Problem in Zeit t B mit Erfolgswahrscheinlichkeit ɛ B löst, wobei ( ) ɛ B ɛ A 2(q + q hash ) (2 k k 1) t B t A + (q + q hash + 1) k 0 Θ(n 3 ) löst. Vorsicht: Möglicherweise Verwirrung bei k 0, k 1. Vereinfachung: k 0 = k J. Müller-Quade Asymmetrische Verschlüsselungsverfahren

73 References I M. Bellare and P. Rogaway. The Exact Security of Digital Signatures-How to Sign with RSA and Rabin. In: Advances in Cryptology EUROCRYPT 96: International Conference on the Theory and Application of Cryptographic Techniques Saragossa, Spain, May 12 16, 1996 Proceedings. Ed. by U. Maurer. Berlin, Heidelberg: Springer Berlin Heidelberg, 1996, pp DOI: / _34. URL: J. Müller-Quade Asymmetrische Verschlüsselungsverfahren