Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011

Transkript

1 Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011 Dominic Scheurer 6. Februar 2012 Inhaltsverzeichnis 30 Digitale Signaturen (cont'd) - One-Time-Signaturen (OTS) 1 31 Public-Key-Verschlüsselung DH / El Gamal RSA-oAEP (optimal asymmetric encryption padding) Hybridverschlüsselung Digitale Signaturen (cont'd) - One-Time-Signaturen (OTS) Idee: Verfahren, dass nur einmal sicher signieren kann (siehe Abbildung 1). Ein solches System kann man aus beliebigen OWFs konstruieren. Abbildung 1: One-Time Signatur 1

2 Abbildung 2: Lamport-Konstruktion (Schlüssel) Lamports Konstruktion aus OWF Sei f OWF. Schlüsselgenerierung (geg. 1 n ) - Siehe Abbildung 2: Wähle 2n Urbilder x b i {0, 1}n, i = 1,..., n; b {0, 1}; berechne yi b = f ( ) ( ) x b i. Dann ist pk = y b und i i,b sk = ( ) x b i. Diese i,b Schlüssel sind sehr groÿ (bis zu 1 MB). Signieren Sig (sk, m) für m {0, 1} n : σ = (σ 1,..., σ n ) = (x m1 1,..., xmn n ) Verizieren V f (pk, m, σ) für m {0, 1} n, σ = (σ 1,..., σ n ). Akzeptiere, falls i : y mi i = f (σ i ) Dieses Verfahren ist one-time-sicher, da ein Angreifer m m wählt, und somit m i m i für ein i. An diesem anderen Bit müsste der Angreifer die OWF invertieren, um aus dem öentlichen Schlüssel das Urbild, welches notwendig zum Signieren ist, zu erhalten. Das bricht jedoch die OWF-Eigenschaft und ist deshalb nicht möglich. Vorteil dieser Methode ist, dass es auf einer beliebigen One-Way-Funktion aufbaut; interessant wird es, da man daraus etwas bauen kann, was annähernd so gut wie beliebig oft ausgeführtes Signieren ist: Merkle Hash-Trees Wähle 2 N Schlüsselpaare (sk i, pk i ) für OTS-Verfahren. Bilde danach einen Hash-Tree wie dargestellt in Abbildung 3. Geheimer Schlüssel: (sk 1,..., sk 2 N ). Sowohl der Schlüssel als auch die Signatur sind bei diesem Verfahren sehr groÿ; zudem kann man damit nur 2 N mal signieren. i-te Signatur Verwende OTS mit pk i ; gib σ aus und zusätzlich pk i, H (Nachbar von pk i ) und alle Hashwerte auf dem Weg zur Wurzel incl. Hashwerte der Nachbarn. Verikation Prüfe σ gegen pk i für OTS; prüfe die Hashwerte, d.h. ob das Hashen zum public key pk führt (ob man also die Wurzel des Baumes nden kann). 2

3 Abbildung 3: Merkle Hash-Tree Sicherheit Dieses Verfahren ist sicher, sofern OTS one-time-sicher und H kollisionsresistent ist, denn Wenn ein Angreifer versucht, eine neue Signatur unter pk i zu fälschen, ist dies ein Widerspruch zur Sicherheit des OTS. Wenn ein Angreifer einen neuen Schlüssel pki verwendet, muss er Hashwerte nden, die zur Wurzel des Baumes führen. Dazu müsste er für einen Wert von H eine Kollision nden Widerspruch. 31 Public-Key-Verschlüsselung Viele Resultate der Private-Key-Welt lassen sich übertragen: E = (KGen, Enc, Dec) ((pk, sk), pk, sk). IND-CPA/CCA Zur IND-CPA/CCA-Sicherheit bei Public-Key-Verfahren siehe Blackbox-Schema in Abbildung 4. Es gibt jedoch jenseits oensichtlicher Ähnlichkeiten auch Unterschiede zwischen den Welten: Das One-Time- Pad als deterministische Private-Key-Verschlüsselungsmethode ist IND-CPA S - sicher, bei Public-Key-Verfahren ist kein deterministisches Verfahren IND- CPA S -sicher! Ein groÿer Vorteil von Public Key-Verfahren, ist dass IND- C(P/C)A S IND-C(P/C)A (asymptotisch macht es keinen Unterschied, ob der Angreifer die Verschlüsselungsbox ein- oder mehrmals anruft)! Dies gilt nicht in der Private-Key-Verschlüsselung (siehe z.b. One-Time-Pad) DH / El Gamal Ausgangslage (Die-Hellman-Key-Exchange): 3

4 Alice A = g a (p) a Z q K = B a (p) Abbildung 4: IND-CPA/CCA bei Public Key Verfahren p,g,q,a B Bob B = g b (p) b Z q K = A b = g ab (p) Transformiere nun das 2-Runden-Verfahren in ein Public-Key-Verfahren: Schlüsselgenerierung pk = (p, g, q, A), sk = (p, g, q, a) Entschlüsselung Enc (pk, m) für m g : Wähle b Z q, B = g b (p), K = A b (p) und C = (B, K m (p)). Eine Schwierigkeit hier liegt in der Benutzung einer Untergruppe von Z N, g : Die Elemente hier sind relativ dünn gestreut, die Nachricht muss auf irgendeine Weise hinein codiert werden. Verschlüsselung Dec (sk, C) für C = (B, Z): m = Z B a (p) Dieses Verfahren heiÿt El Gamal-Verschlüsselungsverfahren; die Ähnlichkeiten zu DH sind naheliegend. Decisional Die-Hellman-Annahme (DDH) und RN D sind ununterscheidbar: DDH (1 n ) RN D (1 n ) Wähle p, g, q Wähle p, g, q (p, a, b Z q g, q, g a (p), g b (p), g ab (p) ) ( a, b, c Z q p, g, q, g a (p), g b (p), g c (p) ) Die Zufallsvariablen DDH Anstatt g ab wird g c mit zufälligem c gewählt; diese Wahl soll die Unterscheidbarkeit der Zufallsvariablen somit nicht beeinussen. 4

5 Bislang wurde drei Annahmen im Zusammenhang mit DH und Schlüsseltausch deniert: DDH ( g a, g b, g ab) ( g a, g b, g c) DH Berechne g ab aus g a, g b DL Berechne a aus g a Diese Annahmen sind in der obigen Liste aufsteigend nach ihrer Stärke geordnet; DL ist somit die stärkste Annahme (sprich die Anforderungen an den Angreifer werden stärker - die Sicherheitsannahmen werden damit schwächer). Mit einem Algorithmus, der DL brechen kann, kann man DH brechen; damit wiederum ist DDH auch leicht. Satz (Sicherheit El Gamal) CPA. Unter der DDH-Annahme ist El Gamal IND- Beweis (Idee) Beim Anfragen der Verschlüsselungsbox erhält ein Angreifer als Antwort ( g b, g ab m ) unter pk = g b. Die DDH-Annahme besagt, dass es möglich ist, den Ciphertext zu ersetzen durch ( g b, g c m ) für ein zufälliges c Z q. Dieses zufällige Gruppenelement g c fungiert hier quasi als One-Time-Pad- Verschlüsselung, daher ist El Gamal IND-CPA. CCA-Sicherheit El Gamal ist allerdings nicht IND-CC A: Ein Angreifer modiziert den Ciphertext C = (B, K m b ) = (B, Z) zu C = (g r B, A r Z), r Z q = ( g r+b, g ar g ab ) m b ) = (g r+b, g a(r+b) m b Dieser neue Ciphertext ist eine gültige neue Verschlüsselung unter dem Schlüssel A, so als ob Bob den Wert r + b gewählt hätte. Für die Konstruktion im Box-Schema bedeutet dies, dass der erhaltene Challenge-Ciphertext auf die angegebene Art zu einem neuen Ciphertext modiziert wird, welcher an die Entschlüsselungsbox geschickt wird; die Antwort ist genau die Nachricht m b (obwohl der Ciphertext C noch nie zuvor gesehen wurde). Hier wurde ausgenutzt, dass diese zahlentheoretische Funktion über gewisse Homomorphieeigenschaften verfügt. Praxis In der Praxis wird eine IND-CCA-Variante (Die Hellman Integrated Encryption Standard (DHIES); Abdalla, Bellare, Ragoway 2001) eingesetzt. 5

6 Abbildung 5: RSA-oAEP, Verschlüsselung Verschlüsselung m {0, 1}. Berechne B, K wie zuvor. k E k M = H (K), c = SymEnc (k E, m), τ = MAC (k M, c). Dann ist Enc (A, m) = C = (B, c, τ). Dadurch werden zwei Probleme gelöst: Die Nachrichten können jetzt Bitstrings sein (keine Gruppenelemente) und man erhält CCA-Sicherheit RSA-oAEP (optimal asymmetric encryption padding) RSA-basiertes Verfahren von Bellare & Rogaway, im Random-Oracle- Modell (ROM). Der ursprüngliche Sicherheitsbeweis für dieses System wurde am 18. November 2000 als lückenhaft festgestellt, doch schon neun Tage später wurde ein korrekter neuer Beweis konstruiert. Zur Verschlüsselung mit RSAoAEP siehe Abbildung 5. Der öentliche Schlüssel ist pk = (N, e), G und H sind Hash-Funktionen. Der private Schlüssel ist sk = (N, d). Die Entschlüsselungsprozedur wird in Abbildung 6 beschrieben. Die Schreibweise z? = 0 k sagt aus, dass der Wert m nur dann akzeptiert wird, wenn z tatsächlich ein 0-String ist; ansonsten liegt ein Fehler vor. Sicherheit Zur Sicherheit von RSA-oAEP wird hier kein formaler Beweis geführt, die Beweisidee wird skizziert in Abbildung 7. Abbildung 8 verdeutlicht die Gedanken zur IND-CCA-Sicherheit. Für die Hashfunktionen gilt die ROM- Annahme Hybridverschlüsselung Problem: Nach Wahl des RSA-Moduls (bspw Bit) ist eine Obergrenze für die Nachrichtenlänge festgelegt (bspw. etwas weniger als 1024 Bits). Block- 6

7 Abbildung 6: RSA-oAEP, Entschlüsselung Abbildung 7: RSA-oAEP, Sicherheit Abbildung 8: RSA-oAEP, CCA-Sicherheit 7

8 weises Verschlüsseln funktioniert im CCA-Fall nicht, da der Angreifer die Blöcke vertauschen und an die Verschlüsselungsbox schicken kann; anschlieÿend kann der Angreifer die Vertauschung rückgängig machen und eine im Voraus bekannte Nachricht vom Entschlüsselungsorakel berechnen lassen. Glücklicherweise gibt es einen günstigen Weg, auch längere Nachrichten zu verschlüsseln, die Hybridverschlüsselung, eine Kombination aus Public- und Private-Key- Verschlüsselung. Dazu betrachte man die folgende Gegenüberstellung: Public-Key: + Kommunikation mit Fremden - Langsam - Frage nach der Verschlüsselung längerer Nachrichten Private-Key:...genau umgekehrt! (Public-Key-)Hybridverschlüsselung Key-Verfahren. Schlüssel sind sk, pk wie beim Public- Verschlüsselung Wähle k für symmetrisches Verfahren. C pub Enc pub (pk, k) C sym Enc sym (k, m) C = (C pub, C sym ) Entschlüsselung Der Entschlüsselungsprozess verläuft entsprechend: Entschlüssele k in C pub mit sk und anschlieÿend m in C sym mit k. Satz IND-CCA-sicheres Public-Key-Verfahren + IND-CCA-sicheres symmetrisches Verfahren IND-CCA-sicheres hybrides Verfahren. Die Annahme für das Public-Key-Verfahren ist sogar stärker als eigentlich notwendig, da der symmetrische Schlüssel k, der verschlüsselt wird, ein zufälliger Schlüssel ist. 8