Digitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.

Transkript

1 Digitale Signaturen Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft

2 Socrative: Wiederholung Room: SIGNATUREN Bitte jetzt einloggen, falls ihr mitmachen wollt :) Bleibt am Besten einfach während der VL eingeloggt. Erstes Quiz läuft bereits & kann ausgefüllt werden! G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

3 Inhalt Socrative Von EUF-naCMA-Sicherheit zu EUF-CMA-Sicherheit (Kap. 2.4) Einschub: Beweisstruktur (nicht im Skript) Sicherheitsbeweis (Kap 2.4) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

4 Socrative vom letzten Mal (Skript) Warum kann man die Einmalsignaturverfahren aus der letzten VL nicht mehrfach verwenden? G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

5 Socrative vom letzten Mal (Skript) Warum kann man die Einmalsignaturverfahren aus der letzten VL nicht mehrfach verwenden? Es gibt Angriffe, die möglich werden, wenn man zwei Signaturen kennt G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

6 Dlog-Einmalsignaturverfahren (Skript) Gegeben: G = g, g, p = G Gen(1 k ) : x, ω Z p h := g x, c := g ω sk = (x, ω) pk = (g, h, c) Sign(sk, m) : σ = ω m x (mod p) Vfy(pk, m, σ) : c? = g m h σ G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

7 Dlog-Einmalsignaturverfahren (Skript) Gegeben: G = g, g, p = G Gen(1 k ) : x, ω Z p h := g x, c := g ω sk = (x, ω) pk = (g, h, c) Sign(sk, m) : σ = ω m x (mod p) Vfy(pk, m, σ) : c? = g m h σ Angriff mit zwei Signaturen σ 1, σ 2 für Nachrichten m 1 = m 2 : Es gilt σ 1 = σ 2 und: g m 1h σ 1 = c = g m 2h σ 2 m 1 + xσ 1 m 2 + xσ 2 (mod p) x m 1 m 2 σ 2 σ 1 (mod p) = Angreifer kann x berechnen G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

8 Dlog-Einmalsignaturverfahren (Skript) Gegeben: G = g, g, p = G Gen(1 k ) : x, ω Z p h := g x, c := g ω sk = (x, ω) pk = (g, h, c) Sign(sk, m) : σ = ω m x (mod p) Vfy(pk, m, σ) : c? = g m h σ Gegeben x, m und σ und beliebige Nachricht m ist σ := σ + m m x (mod p) eine gültige Signatur für m : g m h σ = g m hσ+ m m x = g m h σ h m m x = g m h σ (g x ) m m x = g m h σ g m m = g m h σ = c = Angreifer kann σ für beliebige m berechnen G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

9 RSA-Einmalsignaturen (Skript) Gen(1 k ) : wähle N, e, d geeignet J, c Z n sk = d pk = (N, e, J, c) Sign(sk, m) : σ = ( c J m ) d (mod N) Vfy(pk, m, σ) : c? J m σ e (mod N) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

10 RSA-Einmalsignaturen (Skript) Gen(1 k ) : wähle N, e, d geeignet J, c Z n sk = d pk = (N, e, J, c) Sign(sk, m) : σ = ( c J m ) d (mod N) Vfy(pk, m, σ) : c? J m σ e (mod N) Angriff mit zwei Signaturen σ 1, σ 2 für Nachrichten m 1 = m 2 : Sei obda. m 1 > m 2. Dann gilt J m 1σ e 1 = c = J m 2σ e 2 (mod N) J m 1 m 2 (σ 2 /σ 1 ) e (mod N) = berechne mit Shamirs Trick ein x Z N sodass x e J (mod N) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

11 RSA-Einmalsignaturen (Skript) Gen(1 k ) : wähle N, e, d geeignet J, c Z n sk = d pk = (N, e, J, c) Sign(sk, m) : σ = ( c J m ) d (mod N) Vfy(pk, m, σ) : c? J m σ e (mod N) Gegeben x, m, σ und beliebige Nachricht m ist σ := σx m m (mod N) eine gültige Signatur für m: J m (σ ) e J m (σx m m ) e J m σ e (x e ) m m J m σ e J m m J m σ e c (mod N) = Angreifer kann σ für beliebige m berechnen G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

12 Socrative vom letzten Mal Wunsch (?): Beweise auf Folien, Vorlesung Nachmittags aktuell: bewusst nicht auf Folien Beweise zum Nachlesen im Skript (siehe Vorlesungs-Homepage) mitschreiben möglich, aber nicht nötig Zweck? G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

13 Socrative vom letzten Mal Wunsch (?): Beweise auf Folien, Vorlesung Nachmittags aktuell: bewusst nicht auf Folien Beweise zum Nachlesen im Skript (siehe Vorlesungs-Homepage) mitschreiben möglich, aber nicht nötig Zweck? Termin jetzt leider schwer zu ändern :( G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

14 Inhalt Socrative Von EUF-naCMA-Sicherheit zu EUF-CMA-Sicherheit (Kap. 2.4) Einschub: Beweisstruktur (nicht im Skript) Sicherheitsbeweis (Kap 2.4) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

15 Von EUF-naCMA-Sicherheit zu EUF-CMA-Sicherheit Heute: Gegeben ein EUF-naCMA-sicheres Signaturverfahren Σ und ein EUF-1-naCMA-sicheres Einmalsignaturverfahren Σ (1), konstruiere ein EUF-CMA-sicheres Signaturverfahren Σ. Transformation G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

16 Transformation Seien Σ = (Gen, Sign, Vfy ) und Σ (1) = (Gen (1), Sign (1), Vfy (1) ) digitale Signaturverfahren. Wir konstruieren Σ = (Gen, Sign, Vfy) : Gen(1 k ): (pk, sk) := (pk, sk ) Gen (1 k ) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

17 Transformation Sign(sk, m) : Vfy(pk, m, σ) : gibt 1 aus wenn sonst 0. (pk (1), sk (1) ) Gen (1) (1 k ) σ Sign (sk, pk (1) ) σ (1) Sign (1) (sk (1), m) σ := (pk (1), σ (1), σ ) Vfy (pk, pk (1), σ ) = 1 Vfy (1) (pk (1), m, σ (1) ) = 1, G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

18 Transformation Intuition: σ = ( pk (1), σ (1), σ ) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

19 Transformation Intuition: σ = ( pk (1), σ (1), σ ) zufälliger neuer Schlüssel G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

20 Transformation Intuition: σ = ( pk (1), σ (1), σ ) zufälliger neuer Schlüssel Garantiert: pk (1) stammt vom Eigentümer von pk G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

21 Transformation Intuition: Signiert eigentliche Nachricht (unter pk (1) ) σ = ( pk (1), σ (1), σ ) zufälliger neuer Schlüssel Garantiert: pk (1) stammt vom Eigentümer von pk G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

22 Inhalt Socrative Von EUF-naCMA-Sicherheit zu EUF-CMA-Sicherheit (Kap. 2.4) Einschub: Beweisstruktur (nicht im Skript) Sicherheitsbeweis (Kap 2.4) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

23 Einschub: Beweisstruktur (Skript) Behauptung: Wenn Σ EUF-naCMA-sicher ist, und Σ (1) EUF-1-naCMA-sicher ist, dann ist Σ EUF-CMA-sicher G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

24 Einschub: Beweisstruktur (Skript) Behauptung: Wenn Σ EUF-naCMA-sicher ist, und Σ (1) EUF-1-naCMA-sicher ist, dann ist Σ EUF-CMA-sicher. Wie führt man einen Sicherheitsbeweis mit zwei Annahmen? Was muss gezeigt werden? G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

25 Einschub: Beweisstruktur (Skript) Lehrreich: Wie funktionieren eigentlich normale Sicherheitsbeweise? G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

26 Einschub: Beweisstruktur (Skript) Lehrreich: Wie funktionieren eigentlich normale Sicherheitsbeweise? Seien A eine Annahme (z.b. f ist eine Einwegfunktion ), S eine Sicherheits-Aussage (z.b. das Lamport-Verfahren mit f ist EUF-1-naCMA-sicher ) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

27 Einschub: Beweisstruktur (Skript) Lehrreich: Wie funktionieren eigentlich normale Sicherheitsbeweise? Seien A eine Annahme (z.b. f ist eine Einwegfunktion ), S eine Sicherheits-Aussage (z.b. das Lamport-Verfahren mit f ist EUF-1-naCMA-sicher ) Zu zeigen: A = S G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

28 Einschub: Beweisstruktur (Skript) Lehrreich: Wie funktionieren eigentlich normale Sicherheitsbeweise? Seien A eine Annahme (z.b. f ist eine Einwegfunktion ), S eine Sicherheits-Aussage (z.b. das Lamport-Verfahren mit f ist EUF-1-naCMA-sicher ) Zu zeigen: A = S Wir zeigen immer: S = A G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

29 Einschub: Beweisstruktur (Skript) Lehrreich: Wie funktionieren eigentlich normale Sicherheitsbeweise? Seien A eine Annahme (z.b. f ist eine Einwegfunktion ), S eine Sicherheits-Aussage (z.b. das Lamport-Verfahren mit f ist EUF-1-naCMA-sicher ) Zu zeigen: A = S Wir zeigen immer: S = A Warum reicht das? G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

30 Einschub: Beweisstruktur (Skript) Lehrreich: Wie funktionieren eigentlich normale Sicherheitsbeweise? Seien A eine Annahme (z.b. f ist eine Einwegfunktion ), S eine Sicherheits-Aussage (z.b. das Lamport-Verfahren mit f ist EUF-1-naCMA-sicher ) Zu zeigen: A = S Wir zeigen immer: S = A Warum reicht das? (A S) ( S A)! G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

31 Einschub: Beweisstruktur (Skript) Lehrreich: Wie funktionieren eigentlich normale Sicherheitsbeweise? Seien A eine Annahme (z.b. f ist eine Einwegfunktion ), S eine Sicherheits-Aussage (z.b. das Lamport-Verfahren mit f ist EUF-1-naCMA-sicher ) Zu zeigen: A = S Wir zeigen immer: S = A Warum reicht das? (A S) ( S A)! A S A = S S = A G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

32 Einschub: Beweisstruktur (Skript) Nun: A und B Annahmen Σ ist EUF-naCMA-sicher Σ (1) ist EUF-1-naCMA-sicher G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

33 Einschub: Beweisstruktur (Skript) Nun: A und B Annahmen Σ ist EUF-naCMA-sicher Σ (1) ist EUF-1-naCMA-sicher S wieder gewünschte Sicherheits-Aussage Σ ist EUF-CMA-sicher G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

34 Einschub: Beweisstruktur (Skript) Nun: A und B Annahmen Σ ist EUF-naCMA-sicher Σ (1) ist EUF-1-naCMA-sicher S wieder gewünschte Sicherheits-Aussage Σ ist EUF-CMA-sicher Zu zeigen: (A B) = S G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

35 Einschub: Beweisstruktur (Skript) Nun: A und B Annahmen Σ ist EUF-naCMA-sicher Σ (1) ist EUF-1-naCMA-sicher S wieder gewünschte Sicherheits-Aussage Σ ist EUF-CMA-sicher Zu zeigen: (A B) = S Äquivalent dazu: S = (A B) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

36 Einschub: Beweisstruktur (Skript) Nun: A und B Annahmen Σ ist EUF-naCMA-sicher Σ (1) ist EUF-1-naCMA-sicher S wieder gewünschte Sicherheits-Aussage Σ ist EUF-CMA-sicher Zu zeigen: (A B) = S Äquivalent dazu: S = (A B) Äquivalent dazu: S = ( A) ( B) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

37 Einschub: Beweisstruktur (Skript) Nun: A und B Annahmen Σ ist EUF-naCMA-sicher Σ (1) ist EUF-1-naCMA-sicher S wieder gewünschte Sicherheits-Aussage Σ ist EUF-CMA-sicher Zu zeigen: (A B) = S Äquivalent dazu: S = (A B) Äquivalent dazu: S = ( A) ( B) Wir zeigen nun: S = ( A) ( B) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

38 Inhalt Socrative Von EUF-naCMA-Sicherheit zu EUF-CMA-Sicherheit (Kap. 2.4) Einschub: Beweisstruktur (nicht im Skript) Sicherheitsbeweis (Kap 2.4) G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

39 Sicherheit Theorem (32, leicht anders als im Skript) Für jeden PPT-Angreifer A, der die EUF-CMA-Sicherheit von Σ in Zeit t A mit Erfolgswahrscheinlichkeit ɛ A bricht, und dabei höchstens q Signaturanfragen stellt, existieren PPT-Angreifer B, C mit Laufzeiten t B t A, t C t A, und: B bricht die EUF-1-naCMA-Sicherheit von Σ (1) mit Erfolgswahrscheinlichkeit ɛ B ɛ A 2q, oder C bricht die EUF-naCMA-Sicherheit von Σ mit Erfolgswahrscheinlichkeit ɛ C ɛ A G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

40 Reduktion auf Sicherheit von Σ (1) EUF-1-naCMA EUF-CMA EUF-1-naCMA-Challenger B A G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

41 Reduktion auf Sicherheit von Σ (1) EUF-1-naCMA EUF-CMA EUF-1-naCMA-Challenger B A wähle pk geeignet pk G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

42 Reduktion auf Sicherheit von Σ (1) EUF-1-naCMA EUF-CMA EUF-1-naCMA-Challenger B A wähle pk geeignet pk m i Berechne σ i geeignet σ i G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

43 Reduktion auf Sicherheit von Σ (1) EUF-1-naCMA EUF-CMA EUF-1-naCMA-Challenger B A wähle pk geeignet pk m i m i pk (1) i, σ (1) i Berechne σ i geeignet σ i G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

44 Reduktion auf Sicherheit von Σ (1) EUF-1-naCMA EUF-CMA EUF-1-naCMA-Challenger B A wähle pk geeignet pk m i m i pk (1) i, σ (1) i Berechne σ i geeignet m, σ m, σ (1) 2 σ i G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

45 Socrative Room: SIGNATUREN Was müssen wir zeigen, um den Beweis zu führen? Welche Fakten und Annahmen nutzen wir im Beweis aus? G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

46 Reduktion auf Sicherheit von Σ EUF-naCMA EUF-CMA EUF-naCMA-Challenger C A G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

47 Reduktion auf Sicherheit von Σ EUF-naCMA EUF-naCMA-Challenger C A pk (1) (1) 1,..., pk q wähle pk (1) i EUF-CMA G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

48 Reduktion auf Sicherheit von Σ EUF-naCMA EUF-naCMA-Challenger C A pk (1) (1) 1,..., pk q wähle pk (1) i EUF-CMA pk, σ 1,..., σ q pk G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

49 Reduktion auf Sicherheit von Σ EUF-naCMA EUF-naCMA-Challenger C A pk (1) (1) 1,..., pk q wähle pk (1) i EUF-CMA pk, σ 1,..., σ q pk 1 m i Berechne σ i geeignet σ i G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

50 Reduktion auf Sicherheit von Σ EUF-naCMA EUF-naCMA-Challenger C A pk (1) (1) 1,..., pk q wähle pk (1) i EUF-CMA pk, σ 1,..., σ q pk 1 m i Berechne σ i geeignet m, σ m, σ (1) 3 σ i G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen

51 Socrative Room: SIGNATUREN Teacher s Question: Anmerkungen zur VL, Wünsche, Kritik, G. Hartung Digitale Signaturen: Anwendung von Einmalsignaturen