Digitale Signaturen. Andreas Spillner. Kryptografie, SS 2018

Transkript

1 Digitale Signaturen Andreas Spillner Kryptografie, SS 2018

2 Ausgangspunkt Digitale Signaturen bieten unter anderem das, was man auch mit einer eigenhändigen Unterschrift auf einem Dokument bezweckt. Beispiel: Einen belastbaren Nachweis zu haben, dass man einen Vertrag eingegangen ist. Digitale Signaturen werden aber auch bei anderen Anwendungen verwendet, wie z.b. der Prüfung der Integrität und Authentizität von Software-Updates. Unser Ziel ist ein Grundverständnis zu erlangen, wie digitale Signaturen basierend auf asymmetrischen Verschlüsselungsverfahren funktionieren. Wir werden dann auf das RSA-Probabilistic Signature Scheme (PSS) und den Digital Signature Algorithm (DSA) eingehen.

3 Braucht man unbedingt asymmetrische Verfahren? Die Erzeugung digitaler Signaturen ist eine wichtige Anwendung asymmetrischer Verschlüsselungsverfahren. Man nutzt dabei aus, dass nur einer der Kommunikationspartner Kenntnis vom nichtöffentlichen Schlüssel k pr hat (oder zumindest haben sollte). Dadurch gibt es, wie wir sehen werden, bestimmte Operationen, die nur dieser ausführen kann. Damit erhält man einen belastbaren Nachweis, dass er diese Operation tatsächlich durchgeführt hat. Mit symmetrischen Verschlüsselungsverfahren geht so etwas grundsätzlich nicht.

4 Digitale Signaturen basierend auf RSA Die Ausgangssituation ist identisch mit der, bei der RSA zur Verschlüsselung einer vertraulichen Nachricht x verwendet wird, die A an B senden möchte. Insbesondere muss vorher B einen nichtöffentlichen Schlüssel k pr = (d, n) und den zugehörigen öffentlichen Schlüssel erzeugen. k pub = (e, n) Wir gehen im Folgenden davon aus, dass k pub öffentlich zugänglich gemacht wurde und authentisch ist.

5 Erzeugung einer Signatur durch B A verlangt von B, dass er ein Dokument x digital unterschreibt. Wir gehen zunächst davon aus, dass x sich als natürliche Zahl kleiner n interpretieren lässt. B berechnet dann mit dem nur ihm bekannten nichtöffentlichen Schlüssel k pr = (d, n) die Zahl s = x d mod n. Dann sendet B das geordnete Paar an A. (x, s)

6 Verifizierung der Signatur durch A Wenn A das Paar (x, s) erhält, berechnet er mit dem öffentlichen Schlüssel (e, n) den Wert x = s e mod n. Jetzt sind zwei Fälle möglich: 1. Fall: x = x Dann ist die Unterschrift gültig und muss von B stammen, denn nur B kann aus x solch ein passendes s erzeugen. 2. Fall: x x Dann ist die Unterschrift ungültig. Die Gründe dafür können von einem Übertragungsfehler bis hin zu einem Betrugsversuch reichen.

7 Ein Beispiel für den gesamten Ablauf Vorbereitungsphase: B wählt p = 3 und q = 11. n = 3 11 = 33 ϕ(n) = (3 1) (11 1) = 20 B wählt e = 3 und berechnet d = 7. (3 7 mod 20 = 1) B macht kpub = (3, 33) öffentlich zugänglich. Nur B kennt kpr = (7, 33). B soll x = 4 unterschreiben: B berechnet s = x d mod n = 4 7 mod 33 = 16. B sendet (4, 16) an A. A verifiziert die Unterschrift: A berechnet x = s e mod n = 16 3 mod n = 4. Da x = x gilt, ist die Unterschrift gültig.

8 Was ist, wenn der Inhalt von x vertraulich ist? Das Ziel des beschriebenen Protokolls ist nicht, den evtl. vertraulichen Inhalt von x vor dem Zugriff durch Dritte zu schützen. Falls dies erforderlich ist, muss B das Paar (x, s) vor der Übermittlung an A z.b. mit AES verschlüsseln. Dafür müssen A und B vorher einen geheimen Schlüssel ausgetauscht haben...

9 Möglichst effiziente Verifikation Die Laufzeit der Verifikation hängt von der Länge von e ab. Deshalb wählt man oft möglichst kurze e. Beispiel: e =

10 Sicherheit auf RSA basierender Signaturen Völlig analog zur Verschlüsselung mit RSA kann es ein Angreifer auf den nichtöffentlichen Schlüssel (d, n) abgesehen haben. Praktisch muss der Angreifer dafür n faktorisieren, was für große n mit aktueller Technologie nicht zu bewältigen ist. Ein Angreifer kann allerdings ohne großen Aufwand Nachrichten x zu einer selbst gewählten Signatur s erzeugen. Er wählt s. Dann berechnet er x = s e mod n. Die Verifikation von (x, s) ergibt, dass s es eine gültige Unterschrift von B ist, auch wenn x mit hoher Wahrscheinlichkeit keinen Sinn ergibt.

11 Padding Das Dokument x wird vor dem Unterschreiben so formatiert/kodiert, dass Manipulationen auffallen. Wir schauen uns das RSA Probabilistic Signature Scheme an (RSA-PSS). Dieses hat drei Bausteine: Kodierung eines Fingerabdrucks von x Erzeugung einer Signatur s zum kodierten Fingerabdruck von x Verifikation der Signatur s

12 Kodierung von x beim RSA-PSS p 1, p 2 und p 3 bezeichnen im Folgenden bekannte feste Bitfolgen, mit denen zu kurze Bistrings auf eine vorgegebene Länge aufgefüllt werden. 1. Erzeugung eines zufälligen Wertes r. 2. Berechnung eines Hashwertes h 1 (x) des Dokuments. 3. Konkatenation: m = p 1 h 1 (x) r 4. Berechnung eines Hashwertes h 2 (m). 5. Konkatenation: b = p 2 r 6. Berechnung eines Hashwertes h 3 (h 2 (m)). 7. Berechnung von h 3 (h 2 (m)) b. Ergebnis: c = (h 3 (h 2 (m)) b) h 2 (m) p 3 = u v p 3

13 Erzeugung und Verifikation der Signatur bei RSA-PSS Erzeugung der Signatur: s = c d mod n Verifikation: (basierend auf k pub = (e, n), x und s) 1. Berechnung von s e mod n = u v p Prüfung, ob p 3 = p Gewinnung von r aus h 3 (v ) u. 4. Berechnung von h 2 (p 1 h 1 (x) r ) 5. Prüfung, ob h 2 (p 1 h 1 (x) r ) = v.

14 Digitale Signaturen basierend auf dem Elgamal-Verfahren Der Ablauf gliedert sich wieder in drei Phasen: Erzeugung des öffentlichen und zugehörigen nichtöffentlichen Schlüssels durch B. Erzeugung der digitalen Unterschrift für ein Dokument durch B. Verifikation der Unterschrift durch A.

15 Erzeugung der Schlüssel Der Ablauf ist völlig analog zur Erzeugung der Schlüssel bei der Verschlüsselung mit dem Elgamal-Verfahren: 1. B wählt eine große Primzahl p. 2. B wählt ein primitives Element c der zyklischen Gruppe Z p. 3. B wählt ein zufälliges Element d {2, 3,..., p 2}. 4. B berechnet b = c d mod p. Ergebnis: k pub = (p, c, b) k pr = d

16 Erzeugung der Signatur zu einem Dokument A möchte, dass B das Dokument x unterschreibt: 1. B wählt ein zufälliges k E {2, 3,..., p 2} mit 2. B berechnet r = c k E ggt(k E, p 1) = 1. mod p und s = (x d r)k 1 E mod (p 1). Die digitale Unterschrift von B zum Dokument x ist dann (x, (r, s)).

17 Verifikation der Signatur zu einem Dokument A liegen für die Verifikation x, (p, c, b) und (r, s) vor. A berechnet zuerst t = b r r s mod p. Falls t p c x ist, ist die Unterschrift gültig. Falls t p c x ist, ist die Unterschrift ungültig.

18 Ablauf an einem Beispiel Erzeugung der Schlüssel durch B: p = 29 c = 2 d = 12 b = Ergebnis: kpub = (29, 2, 7), k pr = 12 Erzeugung der digitalen Unterschrift durch B zu x = 26: ke = 5 (ggt(5, 28) = 1) r = 2 5 mod 29 = 3 s = ( ) 5 1 mod 28 = ( 10) 17 mod 28 = 26 Ergebnis: (26, (3, 26)) Verifikation der digitalen Unterschhrift durch A: t = mod 29 = mod 29 = 22 Ergebnis: Gültige Unterschrift.

19 Warum funktioniert die Verifikation der Unterschrift? A berechnet bei der Verifikation b r r s p (c d ) r (c k E ) s p c dr+k E s. Durch die Wahl der Werte gilt für den Exponenten dr+k E s (p 1) dr+k E (x dr)k 1 E (p 1) dr+x dr (p 1) x. Nach dem Satz von Euler gilt also b r r s p c x.

20 Gefahr bei Wiederverwendung von k E! Angenommen B verwendet k E bei der Unterschrift zweier verschiedener Dokumente x 1 und x 2. Dann gilt r 1 = r 2 = c k E Zudem weiß er, dass gilt: und ein Angreifer erkennt dies. s 1 (p 1) (x 1 dr)k 1 E s 2 (p 1) (x 2 dr)k 1 E Daraus gewinnt der Angreifer: s 1 s 2 (p 1) (x 1 x 2 )k 1 E bzw. k E (p 1) (x 1 x 2 )(s 1 s 2 ) 1 Im nächsten Schritt hat der Angreifer dann schon d (p 1) (x 1 s 1 k E )r 1.

21 Der Angriff an einem konkreten Beispiel Der Angreifer kennt: k pub = (29, 2, 7) (x1, (r, s 1 )) = (26, (3, 26)) (x2, (r, s 2 )) = (13, (3, 1)) Ziel des Angreifers: k pr = 12 Dazu berechnet der Angreifer: k E = (26 13) (26 1) 1 = = 13 9 = 5 d = ( )3 1 = 8 19 = 12

22 Der Digitial Signature Algorithm (DSA) Die auf dem Elgamal-Verfahren basierende Erzeugung einer Signatur wird in der Praxis häufig in Form des DSA verwendet. Wir schauen uns hier nur die Variante kurz an, bei der der Modul p eine Bitlänge von 1024 hat. Eines der Ziele des DSA ist es, die Verifikation der Signatur möglichst effizient zu machen.

23 Erzeugung der Schlüssel beim DSA B führt die folgenden Schritte durch. Wahl einer Primzahl p zwischen und Wahl eines Primfaktors q von p 1 zwischen und Wahl eines c Z p mit ord(c) = q. Wahl eines zufälligen d {2, 3,..., q 1}. Berechnung von b = c d mod p. Ergebnis: k pub = (p, q, c, b) und k pr = d

24 Erzeugung der Signatur beim DSA B unterschreibt ein Dokument x wie folgt. Wahl eines zufälligen k E {2, 3,..., q 1}. Berechnung von r = (c k E mod p) mod q. Berechnung von s = (H(x) + d r)k 1 E mod q Ergebnis: (x, (r, s)) H ist eine kryptografische Hashfunktion.

25 Verifikation der Signatur beim DSA A verifiziert (x, (r, s)) basierend auf (p, q, c, b) wie folgt. Berechnung von w = s 1 mod q. Berechnung von u 1 = w H(x) mod q. Berechnung von u 2 = w r mod q. Berechnung von v = (c u 1 b u 2 mod p) mod q Falls v q r gilt, ist die Signatur gültig. Falls v q r gilt, ist die Signatur ungültig. Dass die Verifikation funktioniert, überlegt man sich ähnlich wie beim einfacheren zuvor beschriebenen Verfahren.

26 DSA an einem konkreten Beispiel Erzeugung der Schlüssel durch B: p = 59 q = 29 c = 3 d = 7 b = 3 7 mod 59 = 4 Ergebnis: k pub = (59, 29, 3, 4) und k pr = 7 Erzeugung der Signatur zu x mit H(x) = 26 durch B: k E = 10 r = (3 10 mod 59) mod 29 = 20 s = ( ) 3 mod q = 5 Ergebnis: (x, (20, 5)) Verifikation der Signatur durch A: w = 5 1 mod 29 = 6 u1 = 6 26 mod 29 = 11 u2 = 6 20 mod 29 = 4 v = ( mod 59) mod 29 = 20 Ergebnis: v 29 r, also ist die Signatur gültig.

27 Abschließende Bemerkungen zum DSA Nicht jede Primzahl p ist so beschaffen, dass p 1 einen passenden Primteiler q hat. Daher geht man so vor, dass man zunächst q erzeugt und dann ein passendes p sucht. Auch dann muss man ggf. mehrere q probieren. Auch beim DSA muss für jede Erzeugung einer Signatur ein neues zufälliges k E gewählt werden.