Digitale Signaturen. Prinzipielle Verfahren und mathematische Hintergründe

Transkript

1 Digitale Signaturen Prinzipielle Verfahren und mathematische Hintergründe Seminar für Lehramtskandidaten SS2014 a Roman Ledinsky

2 Digitale Signaturen Was Euch heute erwartet: Prinzip asymmetrischer Verschlüsselung Prinzip Digitaler Signaturen (DS) Überblick über aktuelle Verfahren Das Diskreter Logarithmus Problem ElGamal DS Anwendung Page 2

3 Prinzip asymmetrischer Verschlüsselung Alice will Bob Schokolade schicken, der sitzt aber weiter weg. Daher muss Alice die Lunchbox durch die Klasse zu Bob wandern lassen. Alice Bob

4 Prinzip asymmetrischer Verschlüsselung Alice will Bob Schokolade schicken, der sitzt aber weiter weg. Daher muss Alice die Lunchbox durch die Klasse zu Bob wandern lassen. So funktioniert s mal nicht! Alice Bob

5 Prinzip asymmetrischer Verschlüsselung Wie kommt die Schokolade von Alice unversehrt bei Bob an? Alice Bob

6 Prinzip asymmetrischer Verschlüsselung Wie kommt die Schokolade von Alice unversehrt bei Bob an? Alice Bob

7 Prinzip asymmetrischer Verschlüsselung Wie kommt die Schokolade von Alice unversehrt bei Bob an? Alice Bob

8 Prinzip asymmetrischer Verschlüsselung Wie kommt die Schokolade von Alice unversehrt bei Bob an? So könnt s also funktionieren! Alice Bob

9 Prinzip asymmetrischer Verschlüsselung Mathematisches Pendant zu diesem Vorgang: Alice Bob (( ) 2.41 ) 1/1.83 Geheimzahl = 5 Geheimzahl = 5 Key-Exponent = 1.83 Key-Exponent = 2.41

10 Prinzip asymmetrischer Verschlüsselung Nun wollen wir die Box aber nicht 2x hin und her schicken! Alice Bob

11 Prinzip asymmetrischer Verschlüsselung Dafür nutzen wir folgende Dinge: - Ein Schlüsselbrett mit Zusperr-Schlüsseln pro Schüler - Eine Kiste mit reichlich offenen (grau) Spezialschlössern - Individuelle Aufsperr-Schlüssel für jeden Schüler Alice Bob Alices Aufsperr- Schlüssel Bobs Aufsperr- Schlüssel Alice Bob Mike Tim Lisa

12 Prinzip asymmetrischer Verschlüsselung Mathematische Sichtweise auf diesen Ablauf: - Schololade = Nachricht (m) - Zusperr-Schlüssel = öffentlicher Schlüssel (pk) - Spezialschloß = Verschlüsselungsfunktion (f(pk,m)) - Aufsperr-Schlüssel = privater Schlüssel (sk) Alice Bob Alices Aufsperr- Schlüssel Bobs Aufsperr- Schlüssel Alice Bob Mike Tim Lisa

13 Digitale Signaturen Was Euch heute erwartet: Prinzip asymmetrischer Verschlüsselung Prinzip Digitaler Signaturen (DS) Überblick über aktuelle Verfahren Das Diskreter Logarithmus Problem ElGamal DS Anwendung Page 13

14 Prinzip Digitaler Signaturen Zurück zu Alice und Bob, inzwischen erwachsen! Alice stellt für Bob und Malory Uni-Zeugnisse aus. Malory ist in Kryptologie durchgefallen. Bob bestand mit einer 2. Student Bob PhD. Alice 2 5 Student Malory Bob Malory

15 Prinzip Digitaler Signaturen Nun wird Alice die beiden Zeugnisse digital signieren. Dafür wendet sie zuerst eine hash-funktion auf die Dokumente an. Der hash-wert wird nun mit Alice s private-key (sk) verschlüsselt. Der verschlüsselte hash-wert wird nun dem Dokument angefügt. Student Bob sk 2C6A F319 4BE7 pk F1A7 38B9 44BC PhD. Alice 52 5 H D418 A2F3 EB50 EAF8 33B7 192C Student Malory Malory Bob Malory

16 Prinzip Digitaler Signaturen Malory und Bob wollen bei der Firma Cryptology.Inc anheuern. Zuerst schickt Bob sein Zeugnis ab. Bei Cryptology.Inc separiert man die Signatur von dem Dokument. sk 2C6A F319 4BE7 pk F1A7 38B9 44BC PhD. Alice Student Bob H Cryptology Inc. 2 Bob 5 Malory Student Malory

17 Prinzip Digitaler Signaturen Anschließend wird der hash-wert des Dokuments ermittelt. Jetzt wird aus der Signatur mittels public-key (pk) der hash-wert berechnet. Ursprünglich kam die Signatur ja als Verschlüsselung des hash-wertes mit dem private-key (sk) zustande. sk 2C6A F319 4BE7 pk F1A7 38B9 44BC PhD. Alice Student Bob D418 A2F3 EB50 Cryptology Inc. Student Malory D418 A2F3 EB50 H 2 Bob 5 Malory

18 Prinzip Digitaler Signaturen Die beiden hash-werte stimmen überein, das Zeugnis von Bob konnte somit als echt und unverfälscht bestätigt werden. sk 2C6A F319 4BE7 pk F1A7 38B9 44BC PhD. Alice 2 Student Bob D418 A2F3 EB50 Cryptology Inc. Bob Student Malory D418 A2F3 EB50 H 5 Malory

19 Prinzip Digitaler Signaturen Jetzt ist Malory an der Reihe. Um bessere Karten zu haben fälscht er kurzerhand sein Zeugnis bevor er es abschickt! sk 2C6A F319 4BE7 pk F1A7 38B9 44BC PhD. Alice 2 Student Bob EAF8 33B7 192C Cryptology Inc. Bob Student Malory FF8A B1C8 73CB H 1 Malory

20 Prinzip Digitaler Signaturen Cryptology Inc. prüft nun Malorys Zeugnis. Die hash-werte stimmen nicht überein, entweder das Zeugnis wurde nicht von Alice ausgestellt oder der Inhalt wurde verfälscht. sk 2C6A F319 4BE7 pk F1A7 38B9 44BC PhD. Alice 2 Student Bob EAF8 33B7 192C Cryptology Inc. Bob Student Malory FF8A B1C8 73CB H 1 Malory

21 Prinzip Digitaler Signaturen Händische Unterschrift vs. Digitaler Signatur nötig zur Gewährung der Gültigkeit von Rechtsgeschäften soll Urkundenaussteller erkennbar machen und Echtheit der Urkunde garantieren Sicherheit basiert auf Vertrauenskultur und Techniken wie z.b. der Graphologie sofern Standards (z.b. X.509) eingehalten werden ist sie zumeist rechtlich der händischen Unterschrift gleichgestellt ermöglicht Nachrichtenauthentikation garantiert zusätzlich Integrität eines Dokumentes Sicherheit basiert auf mathematischen trap-door Funktionen Page 21

22 Digitale Signaturen Was Euch heute erwartet: Prinzip asymmetrischer Verschlüsselung Prinzip Digitaler Signaturen (DS) Überblick über aktuelle Verfahren Das Diskreter Logarithmus Problem ElGamal DS Anwendung Page 22

23 Überblick über aktuelle Verfahren Asymmetrische Verfahren im Überblick RSA Diskreter Logarithmus ECC Schlüsselaustausch RSA Diffie-Hellman ECDH Digitale Signatur RSA-DS ElGamal DS ECDSA Verschlüsselung RSA ElGamal Verschl. EC ElGamal Welche Gründe sprechen nun für oder gegen die Anwendung eines bestimmten Verfahrens? Geschwindigkeit Patentrechte Page 23

24 Digitale Signaturen Was Euch heute erwartet: Prinzip asymmetrischer Verschlüsselung Prinzip Digitaler Signaturen (DS) Überblick über aktuelle Verfahren Das Diskreter Logarithmus Problem ElGamal DS Anwendung Page 24

25 Problem des diskreten Logarithmus Etwas Algebra Teil I: (abelsche) Gruppen Eigenschaften (Axiome) von (abelschen) Gruppen: - Abgeschlossenheit - Assoziativ (a*b)*c = a*(b*c) - Neutrales Element a*e = a - Inverses Element a*a -1 = e - Kommutativ (nur abelsche Gruppe) a*b = b*a Eine Gruppe ist endlich, wenn sie endlich viele Elemente hat. Die Elementeanzahl einer Gruppe G wird mit Kardinalität bzw. Ordnung der Gruppe bezeichnet (in Zeichen: #G oder G ).

26 Problem des diskreten Logarithmus Etwas Algebra Teil II: zyklische Gruppen Teil I Ausgehend von Primen Restklassengruppen n* - n ist dabei nicht zwangsweise eine Primzahl - Elemente sind Restklassen a+n deren Elemente teilerfremd zu n sind - Gruppenordnung n* ist durch φ(n) gegeben (eulersche φ-funktion) Ein Beispiel: 11* = {1,2,3,4,5,6,7,8,9,10} - Wir experimentieren mit der Zahl a = 3: - a 1 = 3 - a 2 = 9 - a 3 = 27 5 mod 11 - a 4 = a 3 *a 1 = 5*3 = 15 4 mod 11 - a 5 1 mod 11 - a 6 3 mod 11 Das führt uns zur Ordnung der Zahl 3: Wenn wir die Zahl 3 fünf Mal mit sich selbst multiplizieren kommen wir modulo 11 wieder auf ihren Ausgangswert zurück. D.h. die Ordnung der Zahl 3 ist fünf! In Zeichen: ord(3) = 5

27 Problem des diskreten Logarithmus Etwas Algebra Teil III: zyklische Gruppe Teil II Ein Beispiel: 11* = {1,2,3,4,5,6,7,8,9,10} - Wir experimentieren diesmal mit der Zahl a = 2: - a 1 = 2 - a 2 = 4 - a 3 = 8 - a 4 = 16 5 mod 11 - a 5 10 mod 11 - a 6 9 mod 11 - a 7 7 mod 11 - a 8 3 mod 11 - a 9 6 mod 11 - a 10 1 mod 11 - a 11 2 mod 11 D.h. die Ordnung der Zahl 2 ist zehn! In Zeichen: ord(2) = 10 Die Gruppenordnung G = φ(11) ist ebenfalls 10! Def.: Elemente a mit ord(a) = G heißen primitive Elemente oder Generatoren oder erzeugende Elemente. Def.: Gruppen, die mindestens ein primitives Element besitzen, heißen zyklische Gruppen.

28 Problem des diskreten Logarithmus In der Kryptographie von besonderer Bedeutung: Die Menge n = {1,2,,n-1}, n ϵ {2,4, p α, 2p α } wobei p ϵ \{2} und α ϵ +, bildet mit der Multiplikation * mod n eine zyklische Gruppe. - Wir vereinfachen uns die Sache und beschränken uns auf die zyklischen Gruppen p * mit p ϵ. Wichtige Eigenschaften zyklischer Gruppen: - Zyklische Gruppen sind immer abelsch - Für jedes a ϵ G gilt: - a G = 1 - ord(a) teilt G - falls G ϵ sind alle Elemente in G \{e G } primitiv

29 Problem des diskreten Logarithmus Zum diskreten Logarithmus: DL Teil I Gegeben sei eine zyklische Gruppe G der Ordnung n mit primitivem Element α und einem beliebigen Element a ϵ G. Das Diskrete Logarithmus Problem (DLP) lautet: - Bestimme die Ganzzahl i, 1 i n, sodass gilt: a = α i Beispiel: 11* = {1,2,3,4,5,6,7,8,9,10} - a = 3, α = 2, gesucht: i sodass gilt: a = α i - log α (a) = i log 2 (3) = Gilt nur in den reellen Zahlen! - Das erwartete Ergebnis wäre 8! Das DLP ist rechentechnisch in einigen Gruppen G sehr schwer zu lösen. Dies bedeutet dass das DLP in diesen Gruppen eine Einwegfunktion bildet.

30 Problem des diskreten Logarithmus Zum diskreten Logarithmus: DL Teil I Gegeben sei eine zyklische Gruppe G der Ordnung α = 2 n mit primitivem Element α und einem beliebigen Element a ϵ G. Das Diskrete Logarithmus Problem (DLP) lautet: - Bestimme die Ganzzahl i, 1 i n, sodass gilt: a = α i Beispiel: 11* = {1,2,3,4,5,6,7,8,9,10} α 1 = 2 α 2 = 4 α 3 = 8 α 4 = 16 5 mod 11 α 5 10 mod 11 α 6 9 mod 11 - a = 3, α = 2, gesucht: i sodass gilt: a = α i α 7 7 mod 11 - log α (a) = i log 2 (3) = α 8 3 mod 11 - Gilt nur in den reellen Zahlen! α 9 6 mod 11 - Das erwartete Ergebnis wäre 8! α 10 1 mod 11 α 11 2 mod 11 Das DLP ist rechentechnisch in einigen Gruppen G sehr schwer zu lösen. Dies bedeutet dass das DLP in diesen Gruppen eine Einwegfunktion bildet.

31 Problem des diskreten Logarithmus Zum diskreten Logarithmus: DL Teil II Anwendungsformen des DLP: - Zyklische Gruppen der Form p*, wobei p > Elliptische Kurven über endlichen Körpern y 2 = x 3 +ax+b mod p, wobei p > weitere exotischere DL-Kryptosysteme (hyperelliptische Kurven ) Kurzer Einwurf: Einwegfunktion Die hin-richtung ist relativ einfach zu durchzuführen wohingegen die rück-richtung ein Problem darstellt.

32 Digitale Signaturen Was Euch heute erwartet: Prinzip asymmetrischer Verschlüsselung Prinzip Digitaler Signaturen (DS) Überblick über aktuelle Verfahren Das Diskreter Logarithmus Problem ElGamal DS Anwendung Page 32

33 ElGamal DS Anwendung Ein paar grundlegende Bemerkungen Taher ElGamal (* , Kairo) Ägyptischer Kryptologe Wurde 1985, gemeinsam mit dem ElGamal Verschlüsselungsverfahren, vorgeschlagen Basiert auf dem mathematischen Problem der Berechenbarkeit des Diskreten Logarithmus sowie dem Diffie-Hellman Schlüsselaustauschverfahren Dient als Grundlage für den in den USA weit verbreiteten Digital Signature Algorithm Page 33

34 ElGamal DS Anwendung Phase I : Schlüsselerzeugung (Initialisierung) Alice K priv 2C6A F319 4BE7 = a K pub F1A7 38B9 44BC = (p,α,β) Alice - wählt eine große Primzahl p - bildet damit die Gruppe p* - wählt daraus ein primitives Element α - sowie einen zufälligen Exponent a aus {2,3,,p-2} - daraus berechnet sie β α a mod p Alice erhält somit folgende Schlüsselbestandteile: - K pub = (p,α,β) öffentlicher Schlüssel F1A7 38B9 44BC - = (a) privater Schlüssel (geheim) K priv 2C6A F319 4BE7 Cryptology Inc.

35 ElGamal DS Anwendung Phase II : Nachricht signieren Alice K priv 2C6A F319 4BE7 = a K pub F1A7 38B9 44BC = (p,α,β) = (r,s) Alice erzeugt zuerst hash-wert h(m), h:{0,1}* {1,2,,p-1} Um h(m) zu signieren geht sie wie folgt vor: - Sie wählt ein i ϵ {2,3,,p-2} mit ggt(i,p-1) = 1 und berechnet daraus i -1 mod p (erweiterter Euklidischer Algorithmus) - weiters berechnet sie r α i mod p - sowie s i -1 (h(m) ar) mod (p-1) Somit erhält sie als Signatur von h(m) das Paar (r,s) Das i bleibt zwar geheim, ist aber nicht Bestandteil des Schlüssels und wird nach dem Signieren verworfen. Cryptology Inc.

36 ElGamal DS Anwendung Phase III : Signatur verifizieren Alice K priv 2C6A F319 4BE7 = a Cryptology Inc. will nun die Signatur überprüfen. - Bekannt sind folgende Daten: r,s,p,α,β,h(m) - Zuerst wird überprüft ob 1 r p-1 erfüllt ist. - Trifft dies zu wird folgendes berechnet: - X α h(m) mod p - Y β r r s mod p Stimmen X und Y überein so wird die Signatur akzeptiert! Cryptology Inc. K pub F1A7 38B9 44BC = (p,α,β) X Y = (r,s) D418 A2F3 EB50 = h(m)

37 ElGamal DS Anwendung Mathematischer Hintergrund I : X Y mod p - Wir haben gesehen: die Signatur wird akzeptiert sofern X Y mod p gilt. - Sofern s beim Signaturvorgang korrekt erstellt wurde muss dies auch der Fall sein. - Wir prüfen nach: - bekannt: - β = α a mod p - r = α i mod p - s = i -1 (h(m)) ar) mod (p-1) - zu prüfen: - Y = β r r s mod p α h(m) mod p = X? - Y = α ar α ii-1 (h(m)) ar) mod (p-1) mod p α h(m) mod p = X? - Y = α ar α (h(m)) ar) mod p α h(m) mod p = X? - Y = α h(m) mod p α h(m) mod p = X Page 37

38 ElGamal DS Anwendung Mathematischer Hintergrund II : Wo steckt das DL Problem? - Wir simulieren hierfür einen Angriff: - Um eine gültige Singnatur im Namen von Alice verfassen zu können benötigt man neben den öffentlich zugänglichen Informationen noch ihren privaten Schlüssel. - Bekannt sind dem Angreifer folgende Daten: r,s,p,α,β,h(m) sowie die im Verfahren genutzten Formeln. - Unbekannt aber benötigt: a - Nun wird die Formel für s nach a umgestellt: - s i -1 (h(m)) ar) mod (p-1) / *i - is (h(m) ar) mod (p-1) / umstellen nach a - a (- (is h(m)) / r) mod (p-1) - Der Angreifer kennt alle Parameter der rechten Seite bis auf das i. - Von diesem i weiß er nur dass α i r mod p ist. - Das bedeutet, sobald das DL-Problem kein schwieriges Problem mehr darstellt, wird ElGamal angreifbar. Page 38

39 ElGamal DS Anwendung Zu guter Letzt : Determinismus - Determinismus: Vergleich RSA-DS / ElGamal-DS - RSA Berechnung: Sig Kpriv (h(m)) = (h(m)) d mod n = y - Die selbe Nachricht ergibt IMMER die gleiche Signatur (deterministisches System) - ElGamal Berechnung: Sig Kpriv (h(m)) = a i = (r,s) - Die selbe Nachricht ergibt NICHT IMMER die gleiche Signatur (stochastisches System) Page 39

40 Digitale Signaturen Was Euch heute erwartet: Prinzip asymmetrischer Verschlüsselung Prinzip Digitaler Signaturen (DS) Überblick über aktuelle Verfahren Das Diskreter Logarithmus Problem ElGamal DS Anwendung Page 40

41 Vielen Dank für Eure Aufmerksamkeit Fragen? Anregungen? Diskussion?...Ab jetzt! Seminar für Lehramtskandidaten SS2014 a Roman Ledinsky