Grundlegende Protokolle

Transkript

1 Grundlegende Protokolle Grundlegende Protokolle S.1/60

2 Inhaltsverzeichnis Einleitung Passwortverfahren Wechselcodeverfahren Challange-and-Response Diffie-Hellman-Schlüsselvereinbarung Das ElGamal-Verschlüsselungsverfahren Das ElGamal-Signaturverfahren Shamirs No-Key-Protokoll Knobeln übers Telefon Blinde Signaturen Grundlegende Protokolle S.2/60

3 Einleitung 1 Einleitung Das Briefgeheimnis, sowie das Post- und Fernmeldegeheimnis sind unverletzlich. (Grundgesetz, Artikel 10, Abs. 1) Grundlegende Protokolle S.3/60

4 Einleitung Geheimhaltung Organisatorische Maßnahmen Physikalische Maßnahmen Kryptographische Maßnahmen Definition Protokoll mehrere Instanzen haben ein gemeinsames Ziel Kommunikation gemeinsame Regeln. Gesamtheit aller Regeln zur Kooperation Grundlegende Protokolle S.4/60

5 Einleitung Jedes Protokoll muss die folgenden beiden Bedingungen erfüllen: Durchführbarkeit: alle beteiligten Instanten gemäß Protokoll gewünschtes Ergebnis Korrektheit: Betrugsversuche unwahrscheinlich machen Grundlegende Protokolle S.5/60

6 Paßwortverfahren 2 Paßwortverfahren (Festcodes) Identitätsnachweis durch Geheimnis einfachstes Verfahren: Paßwortverfahren Funktionsweise: pro Person Identifikation individuelles Geheimnis Grundlegende Protokolle S.6/60

7 Paßwortverfahren Grundlegende Protokolle S.7/60

8 Paßwortverfahren zentrale Paßwortspeicherung Authentikation: Überprüfung von Identität und Geheimnis Durchführbarkeit: jede Person kennt ihr Geheimnis Korrektheit: Betrüger muss Paßwort erraten Grundlegende Protokolle S.8/60

9 Paßwortverfahren Schwächen und Gegenmaßnahmen des Paßwortverfahrens: einfache Paßwörter sind erratbar Zahlen-/Buchstabenkombinationen Beispiel 2.1 Wahl des Paßwortes die Anfangsbuchstaben eines Satzes: Ich gehe mit meinem Hund um 5.05 Uhr aus wird zu: IgmmHu5.05a Grundlegende Protokolle S.9/60

10 Paßwortverfahren zentrale Paßwortspeicherung Einwegfunktion f zur Speicherung benutzen Beispiel 2.2. f(pw) wird abgespeichert, Paßwort PW* geht ein f(pw*) wird mit f(pw) verglichen Aber: kein Schutz gegen schlechte Paßwortwahl! Grundlegende Protokolle S.10/60

11 Paßwortverfahren Die Übertragung der Paßwörter erfolgt offen Lebensdauer gering halten. Beispiel 2.3. automatiche Paßwortlebenszeit einstellen Beispiel 2.4 Homebanking neben der PIN gibt es einmalige TAN Grundlegende Protokolle S.11/60

12 Wechselcodeverfahren 3 Wechselcodeverfahren Schwäche von Paßwortverfahren: Geheimnis und Authentikation eines Benutzers gesendeten Nachrichten statisch ab hier: festes Geheimnis, aber die übermittelten Nachrichten variabel und unvorhersagbar gestalten. Grundlegende Protokolle S.12/60

13 Wechselcodeverfahren Funktion des Wechselcodeverfahrens: Verfahren aus individuellen Geheimnis und veränderlichen Wert. Zentrale kennt Geheimnis und Wert kann Ergebnis vergleichen. Beispiel 3.1 Homebanking: Problem, die gesendeten Nachrichten bei festem Geheimnis zu variieren langes Paßwort plus Liste von TANs. Grundlegende Protokolle S.13/60

14 Wechselcodeverfahren Beispiel 3.2. A will sich B gegenüber Authentisieren, Verschlüsselung f, gemeinsamer Schlüssel k, Anfangszählerstand z A sendet f(k,z+1), f(k,z+2), usw. Durchführbar: beide Parteien kennen Schlüssel und Zählerstand Korrekt: Wert c i ohne Schlüssle zu bilden unwahrscheinlich Grundlegende Protokolle S.14/60

15 Wechselcodeverfahren Grundlegende Protokolle S.15/60

16 Wechselcodeverfahren viel höheres Sicherheitsniveau Schwächen und Gegenmaßnahmen des Wechselcodeverfahren Gefahr: Angreifer könnte sich als B ausgeben und das folgende Geheimnis c i 1 f k z i 1 erfahren B gegenüber gibt er sich als A aus. Gegenmaßnahme: Anststt z: aktuelles Datum und Uhrzeit mit kurzer Gültigkeit Grundlegende Protokolle S.16/60

17 Wechselcodeverfahren Variante symmetrischen Algorithmus f durch Signaturverfahren ersetzen Vorteil: B braucht Geheimnis nicht zu kennen A und B kennen Einwegfunktion f A wählt einen Startwert z 0 A setzt eine Obergrenze n, zb n A berechnet z i 1 : f z i i A übermittelt z n z an B A sendet zur Authentikation den Wert z 9999 an B 1 Grundlegende Protokolle S.17/60

18 Wechselcodeverfahren B vergleicht f z 9999 mit z allgemein: f z i z i 1? B muss sich letzten Wert z i merken Korrektheit: niemand kann Einwegfunktion f umkehren Durchführbar: A berechnet alle Werte im Voraus Grundlegende Protokolle S.18/60

19 Wechselcodeverfahren Grundlegende Protokolle S.19/60

20 Challenge-and-Response 4 Challenge-and-Response Wechselcodeverfahren: Vorproduktion der Authentikationsnachricht Challenge-and-Response: Nachrichten werden von A frisch produziert Idee: B stellt Frage, A berechnet Antwort mit geheimen Wissen Grundlegende Protokolle S.20/60

21 Challenge-and-Response Grundlegende Protokolle S.21/60

22 Challenge-and-Response Beispiel 4.1 Entführung Polizei Entführer technische Realisierung beide kennen Einwegfunktion f k mit Parameter k sei zb f k x : f k x Frage von B: Zufallszahl RAND Antwort von A: RES f k RAND : B vergleicht seinen mit erhaltenen Wert f k RAND Grundlegende Protokolle S.22/60

23 Challenge-and-Response Grundlegende Protokolle S.23/60

24 Challenge-and-Response Grundlegende Protokolle S.24/60

25 Challenge-and-Response Korrektheit: Einwegfunktion nicht umkehrbar und Zufallszahl RAND unbekannt Durchführbarkeit: beide Parteien kennen Zufallszahl und Einwegfunktion Variante 1 statt symmetrischen Algorithmus f wiederum Signaturverfahren Vorteil: B kennt nicht Geheimnis von A Grundlegende Protokolle S.25/60

26 Challenge-and-Response Variante 2 Frage und Antwort vertauschen Challenge: f k RAND Response: RAND Durchführbarkeit: da beide Parteien dieselbe Zufallszahl und Einwegfunktion kennen Korrektheit: nur wenn der Zufallszahlengenerator stark erste Variante besser Grundlegende Protokolle S.26/60

27 Diffie-Hellman-Schlüsselvereinbarung 5 Diffie-Hellman- Schlüsselvereinbarung seit 1976 klassische Kryptographie: geheimer Schlüssel über geheimen Kanal über technisch nicht abhörbare Leitung (physikalisch) durch einen Boten (organisatorisch). moderne Kryptographie: kein geheimer Kanal Grundlegende Protokolle S.27/60

28 Diffie-Hellman-Schlüsselvereinbarung Beispiel 5.1 Börsenmarkler spontane geheime Zusammenarbeiten sind erforderlich. Forderungen an das Protokoll: 1. nur durch Zuruf 2. am Ende gleiches Geheimnis 3. für Fremde geheim Grundlegende Protokolle S.28/60

29 Diffie-Hellman-Schlüsselvereinbarung Protokoll von Diffie und Hellman löst dieses Problem, a α : g a mod p aεn diskrete Exponentialfunktion Einwegeigenschaft Kommutativität der Exponenten (1) Grundlegende Protokolle S.29/60

30 Diffie-Hellman-Schlüsselvereinbarung Protokoll von Diffie-Hellman-Schlüsselvereinbarung: öffentliche Primzahl p und natürliche Zahl g (Beispiel: Markler rufen sich die Zahlen zu!) A,B : geheime Zahl a bzw. b. A: α g a mod p; B: β Zahlen α und β austauschen A: β a mod p; B: α b mod p g b mod p. Grundlegende Protokolle S.30/60

31 Diffie-Hellman-Schlüsselvereinbarung Grundlegende Protokolle S.31/60

32 Diffie-Hellman-Schlüsselvereinbarung Was haben A und B damit gewonnen? Durchführbarkeit: A und B haben gleichen Wert (alles modulo p:) β a g b a g ab g a b p α b : k korrekt, niemand außer A und B kann Wert berechnen p, g, α und β öffentlich nicht möglich auf k zu schliessen wenn a bekannt k β a mod p diskreten Logarithmus von α zur Basis g Grundlegende Protokolle S.32/60

33 Das ElGamal-Verschlüsselungsverfahren 6 ElGamal- Verschlüsselungsverfahren leichte Veränderungen des Diffie-Hellman-Schlüsselvereinbarungs-Protokolls asymmetrischen Verschlüsselungsalgorithmus Grundlegende Protokolle S.33/60

34 Das ElGamal-Verschlüsselungsverfahren öffentliche: Primzahl p und natürliche Zahl g, symmetrischen Algorithmus f Teilnehmer: geheimes t T: berechnet τ : g t mod p T: τ öffentlichen Schlüssel t unbekannt,äquivalent diskreten Logarithmus von τ zur Basis g Sender: wählt a α g a mod p k τ a mod p ℵ, dann ℵ Grundlegende Protokolle S.34/60

35 Das ElGamal-Verschlüsselungsverfahren S: sendet den Geheimtext c f T: erhält k aus α t mod p T: kann nun c entschlüsseln. k m und α an T Variante des Diffie-Hellman-Protokolls: zeitliche Entzerrung öffentliche Schlüssel τ ( β ) einmal erzeugt α wird immer neu generiert Grundlegende Protokolle S.35/60

36 ElGamal-Verschlüsselungsverfahren Grundlegende Protokolle S.36/60

37 Das ElGamal-Signaturverfahren 7 ElGamal-Signaturverfahren kein Vertauschen der Reihenfolge von Ver- und Entschlüsselung (RSA) Dies hat zur Folge, dass man aus der Signatur der Nachricht nicht auf diese zurückschliessen kann t und τ mod p wie ElGamal-Verschlüsselungsverfahren. g t Grundlegende Protokolle S.37/60

38 Das ElGamal-Signaturverfahren Erzeugung des Schlüssels T: Zufallszahl r, teilerfremd von p-1 T: berechnet: k g t mod p T: sucht s mit tk rs m mod p 1 1 s m tk r mod p mit muliplikativer Inverse r 1 1 zu digitale Unterschrift: Paar (k,s) r mod p 1 Grundlegende Protokolle S.38/60

39 Das ElGamal-Signaturverfahren Empfänger: signiert Nachricht (m,(k,s)) E: Test auf Richtigkeit: g m mod p und τ k k s mod p vergleichen Durchführbarkeit: Satz von Fermat gilt für jedes korrekt signierte Dokument (m,(k,s)) die Gleichung g m g tk rs τ k k s mod p Korrektheit: kein effizienter Angriff gefunden (2) Grundlegende Protokolle S.39/60

40 Shamirs No-Key-Protokoll 8 Shamirs No-Key-Protokoll symmetrisches Verfahren: Empfänger und Sender selben Schlüssel asymmetrischen Verfahren: Sender: öffentlichen Schlüssel des Empfänges Shamirs No-Key-Protokoll: ohne gemeinsamen Schlüssel und ohne öffentlichen Schlüssel. Grundlegende Protokolle S.40/60

41 Shamirs No-Key-Protokoll Grundlegende Protokolle S.41/60

42 Shamirs No-Key-Protokoll A, B: öffentliche, große Primzahl p A: a a ; B: b b aa 1 mod p 1 bzw bb 1 mod p 1 Die Zahlen a und b sind die multiplikativen Inversen von a, bzw b modulo p-1. a: Schloß; a Schlüssel Grundlegende Protokolle S.42/60

43 Shamirs No-Key-Protokoll Grundlegende Protokolle S.43/60

44 Shamirs No-Key-Protokoll Beweis: (Alles modulo p) w z b y a b x ba b m aba Sendung = Nachricht b m aa wenn x, y und z bekannt, kann ein Angreifer nicht auf m kommen diskrete Exponentailfunktion Verschlüsselungsfunktion Eigenschaft von No-Key-Verfahren x x f a f b f b f a bb m symmetrische Grundlegende Protokolle S.44/60

45 Knobeln übers Telefon 9 Knobeln übers Telefon Beispiel 9.1 Wer bekommt das Cabriolet? Papier, Schere, Stein Papier gegen Stein Stein gegen Schere und Schere gegen Papier. Münzwurf Grundlegende Protokolle S.45/60

46 Knobeln übers Telefon Bedingung: A sagt seine Entscheidnung zuerst A kann nicht revidieren B kann nicht auf anhieb die Entscheidung aus der Antwort entnehmen Grundlegende Protokolle S.46/60

47 Knobeln übers Telefon Exkurs: Commitment Commitment = Festlegen A hinterlegt die Nachricht so, dass sie von niemandem gelesen werden kann sie nicht geändert werden kann. Grundlegende Protokolle S.47/60

48 Knobeln übers Telefon Realisierung kollisionsfreie Einwegfunktion f (beiden bekannt) Nachricht m (für B geheim) c = f(m) wird veröffentlicht Kollisionsfreiheit: m! m Einwegfunktion: m kann aus f(m) nicht berechnet werden f m! f m Grundlegende Protokolle S.48/60

49 Knobeln übers Telefon Festlegen A: c=f(m) berechnen und an B senden Öffnen A sendet m an B B überprüft c=f(m) auf Richtigkeit Grundlegende Protokolle S.49/60

50 Knobeln übers Telefon Bit-Commitment Auf der Menge 0,1 gibt es keine kollisionsfreie Einwegfunktion f!!! Lösung A bestimmt Bit b und Zufallszahl r f(b,r) veröffentlichen f normale Einwegfunktion Grundlegende Protokolle S.50/60

51 Knobeln übers Telefon Kollisionfreiheit für das Bit Beh: f 0 r! f 1 r Bew: zb: f b r : y b r 2 mod n mit n=pq, p,q Primzahl y fester quadratischer Nichtrest mod n Einwegfunktion, aber nicht kollisionsfrei, da r 2 4 Quadratwurzeln mod n, aber kollisionsfrei ist, f(0,r), da quadratischer Rest f(1,r), da quadratischer Nichtrest. Grundlegende Protokolle S.51/60

52 Knobeln übers Telefon Bit-Commitment-Techniken Münzwurf: A auf ein Bit festlegen Knobeln: A ein Element aus Papier, Stein, Schere Isomorphie von Graphen Grundlegende Protokolle S.52/60

53 Knobeln übers Telefon Grundlegende Protokolle S.53/60

54 Knobeln übers Telefon drei nichtisomorphe Graphen G Schere, G Papier und G Stein fest A wählt einen dieser Graphen zufällige Permutation auf ihn schickt Ergebnis an Bob isomorph oder nicht isomorph nicht erkennbar B wählt A sagt Ergebnis B kann Wahl überprüfen Grundlegende Protokolle S.54/60

55 Blinde Signaturen 10 Blinde Signaturen Blinde Signaturen elektronische Münzen und elektronische Wahlen Ein Verfahren zur Erzeugung blinder Signaturen B darf Nachricht nicht sehen A will gültige Unterschrift von B unter dem Dokument Grundlegende Protokolle S.55/60

56 Blinde Signaturen Beispiel 10.1 Klassenarbeit Vater unterschreibt blind mit Arbeit gesehn Mit Hilfe des RSA-Verfahrens Chaum Grundlegende Protokolle S.56/60

57 Blide Signaturen Grundlegende Protokolle S.57/60

58 Blinde Signaturen A: Dokument m B: Modul n, öffentlicher Schlüssel e, geheimer Schlüssel d A: Zufallszahl r, teilerfremd zu n, x mr e mod n (Multiplikation mit r e Klassenarbeit.) B: y x d mod n A: Multiplikation mit r 1 Zudecken der Grundlegende Protokolle S.58/60

59 Blinde Signaturen Beweis: yr 1 x d r mr e 1 d 1 r mod n 1 mod n m d r ed r mod n m d 1 rr mod n m d mod n ( mr e d m d r ed Kohlepapier) Unterschrift blind, da man von mr e nicht auf m schließen kann Grundlegende Protokolle S.59/60

60 Schlußsatz kein Verfahren ist 100 prozentig Sicher noch Fragen? Grundlegende Protokolle S.60/60