Kryptografische Hashfunktionen

Transkript

1 Kryptografische Hashfunktionen Andreas Spillner Kryptografie, SS 2018

2 Wo verwenden wir kryptografische Hashfunktionen? Der Hashwert H(x) einer Nachricht x wird oft wie ein Fingerabdruck von x vewendet. Dies nutzt man z.b. aus bei: Padding Speicherung von Passwörtern Digitalen Signaturen

3 "ECB"-Signaturen für lange Nachrichten? Die Berechnung der Signatur für jeden einzelnen Block ist schon recht aufwendig. Bei langen Nachrichten müsste man viele Blöcke signieren, was für viele Anwendungen zu lange dauert. Da die Signatur zusammen mit der Nachricht übertragen werden muss, erzeugt dieses Vorgehen zudem unnötig viel Datentransfer. Außerdem müsste man Maßnahmen ergreifen, die verhindern, dass ein Angreifer die Folge der signierten Blöcke manipuliert. Ziel: Auch für lange Nachrichten x möchte man eine möglichst kurze Signatur, die sich effizient berechnen und übertragen lässt, welche aber trotzdem sicher ist.

4 Signaturen mit Hashfunktionen H sei eine Hashfunktion, auf deren Verwendung sich A und B verständigt haben. Erzeugung der Signatur durch B: Berechnung von z = H(x) Erzeugung der Signatur s für den Hashwert z Übermittlung von (x, s) an A Verifikation der Signatur durch A: Berechnung von z = H(x) Verifikation, ob s eine gültige Signatur zu z ist.

5 Grundlegende Anforderungen an eine Hashfunktion Für (nahezu) beliebig große Nachrichten x kann ein Hashwert berechnet werden. Als Konsequenz muss die Berechnung des Hashwertes sehr effizient möglich sein. Der Hashwert soll eine feste Länge haben (z.b. 512 Bit). Kleine Änderungen an x sollen zu großen Änderungen am Hashwert führen. Als Nächstes: Anforderungen an die Sicherheit einer kryptografischen Hashfunktion.

6 Preimage Resistance Aquivalente Formulierung: kryptografische Hashfunktionen müssen Einwegfunktionen sein. Während also zu gegebenem x der Hashwert z = H(x) sehr effizient berechnet werden kann, soll es praktisch nicht möglich sein, aus z das x rückzurechnen. Warum braucht man diese Eigenschaft? Speicherung von Passwörtern bzw. von deren Hashwert ist sonst nicht sicher. Signaturen vertraulicher Nachrichten sollen nichts über die Nachricht selbst enthüllen.

7 Weak Collision Resistance Aus x 1 und z 1 = H(x 1 ) soll es praktisch nicht möglich sein, ein zu berechnen. x 1 x 2 mit H(x 2 ) = z 1 Warum braucht man diese Eigenschaft? Ein Angreifer könnte x1 durch x 2 ersetzen und die von B für x 1 erzeugte Signatur wäre auch für x 2 gültig. Um eine systematische Suche durch Angreifer auszuschließen, muss der Hashwert lang genug sein.

8 Strong Collision Resistance Es darf nicht effizient möglich sein, Nachrichten x 1 x 2 mit zu berechnen. H(x 1 ) = H(x 2 ) Warum braucht man diese Eigenschaft? Angenommen ein Angreifer kann x1 und x 2 mit H(x 1 ) = H(x 2 ) erzeugen. Dann lässt er sich x 1 von B signieren (z.b. eine Banküberweisung). Dann tauscht er x1 gegen x 2 aus (z.b. gegen eine Banküberweisung mit anderem Betrag).

9 Kollisionen sind nicht vermeidbar Es ist in unserem Kontext grundsätzlich nicht möglich, die Existenz von Kollisionen auszuschließen. Dies ergibt sich unmittelbar aus unserer Zielstellung, für beliebig lange Nachrichten einen Hashwert fester Länge berechnen zu wollen. Da es sehr viel mehr Nachrichten als Hashwerte (z.b. der Länge 512 Bit) gibt, wird es sogar sehr viele verschiedene Nachrichten mit demselben Hashwert geben. Wir können also nur versuchen auszuschließen, dass man solche Paare von Nachrichten effizient berechnen kann.

10 Der Geburtstagsangriff Angenommen die Hashfunktion H erzeugt Hashwerte der Länge 128 Bit. Dann braucht man im Schnitt nur 2 64 (statt ) Nachrichten durchprobieren, bis man ein Paar x 1 x 2 mit H(x 1 ) = H(x 2 ) gefunden hat. Dies ist eine Konsequenz des sogenannten Geburtstagsparadoxons.

11 Das Geburtstagsparadoxon Auf einer Party sind g Gäste. Die Wahrscheinlichkeit, dass keine zwei davon am selben Tag des Jahres Geburtstag haben, ist: p = ( ) ( ) (1 g ) Für g = 23 ist p 0.5. Für g = 40 ist p 0.1. Ergebnis: Die Wahrscheinlichkeit 1 p, dass mindestens zwei Gäste am selben Tag Geburtstag haben, ist schon für g wesentlich kleiner als 365 hoch.

12 Übertragung auf Hashfunktionen Bei Hashwerten der Länge l ist die Wahrscheinlichkeit, dass unter g Hashwerten keine Kollisionen auftreten, gleich: p = (1 1 2 l ) (1 2 2 l ) (1 g 1 2 l ) e g(g 1) 2 l+1 Umstellen nach g liefert die Näherung: g 2 l+1 2 ln(p) Ergebnis: Im Mittel braucht man nur 2 l+1 2 Hashwerte durchprobieren, bis man auf eine Kollision stößt.

13 Zusammenfassung zum Geburtstagsangriff Um z.b. ein Sicherheitslevel von 128 Bit zu erreichen, braucht man Hashwerte der Länge 256 Bit. Wir haben bisher keine Spezifika einer bestimmten Hashfunktion ausgenutzt. Für bestimmte Anwendungen, die keine Strong Collision Resistance erfordern, kann man auch mit entsprechend kürzeren Hashwerten arbeiten: Beispiel: Speichern von Passwörtern

14 Typen von kryptografischen Hashfunktionen Typ 1 Speziell entworfene Algorithmen, die als kryptografische Hashfunktionen dienen. Beispiele: MD4-Familie (MD5, SHA-x, RIPEMD) Typ 2 Auf einer Blockchiffre basierende kryptografische Hashfunktionen.

15 Typ 1: Merkle-Damgard-Konstruktion Die Eingabe x wird in Blöcke fester Länge l in zerlegt. x 1, x 2,..., x n Die Blöcke werden dann sequentiell verarbeitet. Dabei wird jeweils die Ausgabe der Länge l out für den vorherigen Block x i 1 verknüpft mit dem aktuellen Block x i. Die Ausgabe für den letzten Block x n ist dann die Ausgabe der Hashfunktion für die Eingabe x. Beispiel: Für MD5 ist l in = 512 Bit und l out = 128 Bit.

16 SHA (Secure Hash Algorithm) Wir schauen uns den grundsätzlichen Ablauf von SHA-1 an. SHA-1 ist nicht mehr sicher! Das noch als sicher eingestufte SHA-2 hat einen sehr ähnlichen Aufbau. Das neueste Mitglied der SHA-Familie ist SHA-3.

17 Eckdaten zu SHA-1 Maximale Eingabelänge: 2 64 Länge der Eingabeblöcke: l in = 512 Bit Länge der Ausgabeblöcke: l out = 160 Bit Für jeden Eingabeblock werden 4 20 Runden durchlaufen. Wichtiges Designziel: Der Algorithmus soll als Programm einfach auf üblicher Hardware umzusetzen sein.

18 Vorbereitung Die Gesamtlänge der Eingabe muss zunächst auf ein Vielfaches von 512 Bit gebracht werden. Dazu wird eine 1 gefolgt von einer geeignet gewählten Anzahl von 0-en und die Länge der ursprünglichen Eingabe x als Binärzahl an x angehängt. Dann erfolgt die Zerlegung in Blöcke der Länge 512 Bit. x 1, x 2,..., x n Es gibt einen festen Wert H 0 der Länge 160 Bit, der bei Block x 1 statt der Ausgabe für den vorgerigen Block verwendet wird.

19 Ausgangspunkt der Berechnungen für x i x i wird in Blöcke der Länge 32 Bit zerlegt: x (0) i, x (1) i,..., x (15) i Aus x i werden rundenspezifische Werte (message schedule) erzeugt: { x (j) W j = i, 0 j 15 (W j 16 W j 14 W j 8 W j 3 ) << 1, 16 j 79 Die Ausgabe H i 1 = H(x i 1 ) für den vorherigen Block wird in Blöcke der Länge 32 Bit zerlegt: A = H (0) i 1, B = H(1) i 1, C = H(2) i 1, D = H(3) i 1, E = H(4) i 1

20 Ablauf von Runde j Jede Runde bildet aus den Werten A, B, C, D, E der Länge 32 Bit neue Werte A, B, C, D, E wie folgt: A = (E + f j (B, C, D) + (A << 5) + W j + K j ) mod 2 32 B = A C = B << 30 D = C E = D Mit den Werten A, B, C, D, E geht es dann in die nächste Runde.

21 Rundenfunktionen und Rundenkonstanten j K j f j (B, C, D) 0 j 19 5A (B C) (B D) 20 j 39 6ED9EBA1 B C D 40 j 59 8F1BBCDC (B C) (B D) (C D) 60 j 79 CA62C1D6 B C D

22 Abschluss der Berechnung von H i Die Ausgabe H i = H(x i ) wird zusammengesetzt aus den folgenden Blöcken der Länge 32 Bit: H (0) i = (A + H (0) i 1 ) mod 232 i = (B + H (1) i 1 ) mod 232 i = (C + H (2) i 1 ) mod 232 i = (D + H (3) i 1 ) mod 232 i = (E + H (4) i 1 ) mod 232 H (1) H (2) H (3) H (4) Dabei sind A, B, C, D, E die Werte aus der letzten Runde für x i. Die Ausgabe von SHA-1 für die gesamte Eingabe x ist dann H n = H(x n ).

23 Hashfunktionen basierend auf Blockchiffren Es gibt verschiedene allgemeine Konstruktionen, die aus einer gegebenen Blockchiffre (z.b. AES) eine kryptografische Hashfunktion gewinnen. Diese unterscheiden sich darin, welcher Teil der zu hashenden Nachricht als Schlüssel fungiert und welcher Teil dann "verschlüsselt" wird. Das Ziel ist dabei aber nicht die Verschlüsselung der Eingabe. Der Hashwert ist ja lediglich ein Fingerabdruck der Nachricht und aus ihm lässt sich die Nachricht nicht mehr eindeutig rekonstruieren. Im Folgenden schauen wir uns einige der in der Praxis verwendeten Konstruktionen kurz an.

24 Matyas-Meyer-Oseas-Konstruktion (1) Sei b die Blocklänge der Blockchiffre. Die Nachricht x wird in Blöcke der Länge b zerlegt. x 1, x 2,..., x n Wir setzen voraus, dass b auch gleich der Länge s des Schlüssels der Blockchiffre ist (z.b. AES mit einem Schlüssel der Länge 128 Bit). H 0 ist ein fester Initialisierungswert der Länge b = s. Dann werden sequentiell berechnet: H i = e Hi 1 (x i ) x i Die Ausgabe der so konstruierten Hashfunktion für die Eingabe x ist dann H n.

25 Matyas-Meyer-Oseas-Konstruktion (2) Die Länge des Hashwertes stimmt bei dieser Konstruktion mit der Blocklänge b der Blockchiffre überein. Falls die Voraussetzung b = s nicht erfüllt ist, benötigt man noch eine Funktion, die H i 1 auf die erforderliche Schlüssellänge s bringt.

26 Davies-Meyer-Konstruktion Sei b die Blocklänge der Blockchiffre und s die Länge des Schlüssels. Es kann s b sein. Die Nachricht x wird in Blöcke x 1, x 2,..., x n der Länge s zerlegt. H 0 ist ein fester Initialisierungswert der Länge b. Dann werden sequentiell berechnet: H i = e xi (H i 1 ) H i 1 Die Ausgabe der so konstruierten Hashfunktion für die Eingabe x ist dann wieder H n. Die Länge des Hashwertes ist b.

27 Restriktionen durch die Blocklänge der Blockchiffre Viele moderne Blockchiffren haben eine Blocklänge von 128 Bit (z.b. AES). Die bisher betrachteten Konstruktionen gewinnen daraus kryptografische Hashfunktionen mit einem Hashwert der Länge 128 Bit. Vor dem Hintergrund des Geburtstagsangriffs haben diese Hashfunktionen dann nur ein Sicherheitslevel von 64 Bit, was nicht sicher genug ist. Ein Ausweg ist die Verwendung von Blockchiffren mit einer größeren Blocklänge (z.b. Rijndael). Eine andere Option ist es, mehr als eine Instanz der Blockchiffre parallel arbeiten zu lassen.

28 Hirose-Konstruktion (1) Sei b die Blocklänge der Blockchiffre und s = 2b die Länge des Schlüssels. Die Nachricht x wird in Blöcke x 1, x 2,..., x n der Länge b zerlegt. H 0,L und H 0,R sind feste Initialisierungswerte der Länge b. c ist eine feste Konstante ungleich 0 der Länge b. Dann werden sequentiell berechnet: H i,l = e Hi 1,R x i (H i 1,L ) H i 1,L H i,r = e Hi 1,R x i (H i 1,L c) H i 1,L

29 Hirose-Konstruktion (2) Die Ausgabe der so konstruierten Hashfunktion für die Eingabe x ist dann H n,l H n,r. Die Länge des Hashwertes ist bei dieser Konstruktion s = 2b. Wenn als Blockchiffre z.b. AES mit einer Schlüssellänge von 256 Bit verwendet wird, erhält man Hashwerte der Länge 256 Bit.