Übung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel

Transkript

1 Übung zur Vorlesung Sicherheit Übungsblatt 2 Alexander Koch alexander.koch@kit.edu Björn Kaidel bjoern.kaidel@kit.edu 1 / 32

2 Kummerkasten In der Übung lauter und deutlicher sprechen: Wir geben uns Mühe :) 2 / 32

3 Wdh.: IND-CPA für symm. Verschlüsselung Herausforderer C wählt Schlüssel K zufällig. C stellt Enc(K, )-Orakel für A bereit. C A Orakel M b {0, 1} M 0, M 1 C = Enc(K, M b ) C = Enc(K, M) b (Anfragen immer erlaubt!) b = b? 3 / 32

4 ÜB 2 Aufgabe 1 Zeigen Sie: Der CBC-Modus kann nicht IND-CPA-sicher sein, wenn der Initialisierungsvektor IV 1. fest und für jeden Verschlüsselungsvorgang gleich gewählt, oder 2. der IV ausgehend von einer xen Wahl bei jeder Verschlüsselung um 1 hochgezählt wird. 4 / 32

5 ÜB2 Aufgabe 1: IV fest Erinnerung: CBC-Modus C 0 = IV, C i = E(K, M i C i 1 ). Beobachtung: IV fest CBC-Modus deterministisch. 5 / 32

6 ÜB2 Aufgabe 1: IV fest Konstruiere folgenden Angreifer A: A wählt zwei gleichlange Nachrichten M 0 M 1. Er gibt diese als seine Challenge aus und erhält ein Challenge-Chirat C. C ist Chirat von M 0 oder M 1. A gibt M 0 an sein Verschlüsselungsorakel und erhält C 0 = Enc(K, M 0 ). A überprüft, ob C = C 0. Wenn ja, gibt er 0 aus, sonst 1. A gewinnt immer! 6 / 32

7 ÜB2 Aufgabe 1: IV wird hochgezählt Sei l die Blocklänge und IV 1 {0, 1} l der erste Initialisierungsvektor. Konstruiere folgenden Angreifer A: A schickt M 0 = 0 l ans Orakel und erhält C = Enc(K, M 0 ) = (IV 1, E(K, M 0 IV 1 )) = (IV 1, E(K, IV 1 )). A merkt sich X := E(K, IV 1 ) und IV 1. Er berechnet IV 2 = IV / 32

8 ÜB2 Aufgabe 1: IV wird hochgezählt A setzt M 1 = IV 1 IV 2. Er schickt M 0, M 1 als Challenge erhält C = (C1, C2 ) = (IV 2, E(K, M b IV 2 )). Wurde M 1 verschlüsselt, so gilt: C2 = E(K, M 1 IV 2 ) = E(K, IV 1 IV 2 IV 2 ) = E(K, IV 1 0 l ) = E(K, IV 1 ) = X. Ist also C2 = X, so gibt er 1 aus, sonst 0. A gewinnt immer! 8 / 32

9 ÜB2 Aufgabe 1 Fazit Randomisierte Verschlüsselung notwendig für IND-CPA-Sicherheit Intuitiv: IND-CPA-Sicherheit schützt vor passiven Angreifern 9 / 32

10 ÜB2 Aufgabe 2 Es sei SKE = (Enc, Dec) ein IND-CPA-sicheres, symmetrisches Verschlüsselungsverfahren. Wir konstruieren daraus zwei neue Verfahren. 10 / 32

11 ÜB2 Aufgabe 2 (1.) (a) Betrachte SKE mit Enc (K, M) := Enc(K, Enc(K, M)), Dec (K, C) := Dec(K, Dec(K, C)). (a) Korrektheit: Dec (K, Enc (K, M)) = Dec(K, Dec(K, Enc(K, Enc(K, M)))) = Dec(K, Enc(K, M)) = M 11 / 32

12 ÜB2 Aufgabe 2 (1.) (b) Betrachte SKE mit Enc (K, M) := Enc(K, Enc(K, M)), Dec (K, C) := Dec(K, Dec(K, C)). (b) IND-CPA-Sicherheit: Annahme: ez. Angreifer A auf SKE Konstruiere Angreifer B auf SKE. Existenz von B ist Widerspruch zur IND-CPA-Sicherheit von SKE! A kann nicht existieren. 12 / 32

13 ÜB2 Aufgabe 2 (1.) (b) Simulation des Enc -Orakels: Enc(K, )-Orakel M B M A C = Enc(K, M) C C = Enc(K, C ) C Beobachtung: C = Enc(K, Enc(K, M)) = Enc (K, M)! 13 / 32

14 ÜB2 Aufgabe 2 (1.) (b) Challenge: Enc-Orakel M i (i = 0, 1) B M 0, M 1 A C i = Enc(K, M i ) Herausforderer C 0, C 1 b {0, 1} C = Enc(K, C b )C b b b = b? 14 / 32

15 ÜB2 Aufgabe 2 (1.) (b) B simuliert das IND-CPA-Spiel für A perfekt. B gibt einfach das Bit von A aus. B gewinnt A gewinnt. Also: Pr[B gewinnt] 1/2 nicht vernachlässigbar. Widerspruch zur IND-CPA-Sicherheit von SKE. SKE muss ebenfalls IND-CPA-sicher sein. 15 / 32

16 ÜB2 Aufgabe 2 (2.) (a) Betrachte SKE mit Enc (K, M) := (M (0), Enc(K, M)) (= (C 1, C 2 )), Dec (K, C) := Dec(K, C 2 ). M (0) ist das niederwertigste Bit von M. (a) Korrektheit: Dec (K, C) = Dec(K, C 2 ) = Dec(K, Enc(K, M)) = M 16 / 32

17 ÜB2 Aufgabe 2 (2.) (b) Betrachte SKE mit Enc (K, M) := (M (0), Enc(K, M)) (= (C 1, C 2 )), Dec (K, C) := Dec(K, C 2 )). M (0) ist das niederwertigste Bit von M. (b) IND-CPA-Sicherheit: Angreifer A wählt M 0, M 1 mit M 0,(0) M 1,(0). C = (C1, C2 ) C1 = M b,(0). A kann eindeutig entscheiden! SKE nicht IND-CPA-sicher! 17 / 32

18 ÜB2 Aufgabe 2 Fazit Damit ein Verschlüsselungsschema IND-CPA-sicher sein kann, darf nicht mal ein Bit Information über den Klartext leaken.... kein Teil des Chirats eindeutig deterministisch vom Klartext abhängen. 18 / 32

19 ÜB2 Aufgabe 3, Blockchire mit Tweak Bisher: Blockchire E : {0, 1} k {0, 1} l {0, 1} l verschlüsselt deterministisch einen Nachrichtenblock, Betriebsmodus sorgt für Variabilität über IV : E : {0, 1} k {0, 1} v {0, 1} {0, 1}. Idee: Variabilität direkt in die Basisprimitive Blockchire einbauen, nicht erst im Betriebsmodus. Macht Beschreibung/Analyse einfacher Tweak-Wechsel schneller als Schlüsselwechsel Schlüssel für Unsicherheit Tweak für Variabilität 19 / 32

20 Blockchire mit Tweak: Konstruktion XEX Gegeben: Blockchire E : {0, 1} k 2 {0, 1} l {0, 1} l. Konstruiere: E TWEAK : {0, 1} k {0, 1} t {0, 1} l {0, 1} l. Setze: E TWEAK (K 1 K 2, T i, M) := E(K 1, M ), wobei := PAD(E(K 2, T ) i), PAD: {0, 1} {0, 1} l determ. Paddingfunktion, T {0, 1} l beliebige Tweakgrundlage, M {0, 1} l, K 1, K 2 {0, 1} k 2, i N. 20 / 32

21 Der XTS-Betriebsmodus XTS: XEX Tweakable Block Cipher with Ciphertext Stealing Geg.: XEX-Blockchire ( XOR-Encrypt-XOR) E TWEAK. Setze C i := E TWEAK (K, T i, M i ). T' K₂ E M 1 M 2 PAD( 1) PAD( 2) PAD( 3) M 3 K E E 1 K 1 K 1 E C 1 C 2 C 3 (Quelle: Wikipedia) Festplattenverschlüsselung: T Sektornummer, i Blocknummer im Sektor. 21 / 32

22 ÜB2 Aufgabe 3a: Vergleich XTS CBC Vor-/Nachteile bei Festplattenverschlüsselung Vorteil: Bei Änderung eines Klartextes muss nur ein XTS-Block neuberechnet werden, bei CBC alle Blöcke ab der Änderung (z.b. bis zum Sektorende). Nachteil: Der Schlüssel hat doppelte Länge. (Im Standard, nicht im Originalpaper, siehe: Phillip Rogaway: Ecient Instantiations of Tweakable Blockciphers and Renements to Modes OCB and PMAC, 2004.) 22 / 32

23 ÜB2 Aufgabe 3b Konstruiere E WEAK via: E WEAK (K 1 K 2, T i, M) := E(K 1, M ), wobei := PAD(T i). Was ist C 1 C 2, wenn C i := E WEAK (K, T i, i ), i := PAD(T i), i = 1, 2? C 1 C 2 = E(K 1, 1 1 ) 1 E(K 1, 2 2 ) 2 = E(K 1, 0) 1 E(K 1, 0) 2 = 1 2. (nicht zufällig) E WEAK (K,, ) von Zufallsfunktion unterscheidbar nicht sicher 23 / 32

24 XTS Nachteile You don't want XTS: 04/30/you-dont-want-xts/ Fazit: XTS Standard für Festplattenverschlüsselung, aber für andere Anwendungsfälle ungeeignet. XTS works like ECB. It's deterministic. If you're looking for the penguins, they're there, but you have to look for them across time instead of space: successive writes to the same sector-block location will repeat, but encryptions of the same plaintext at dierent locations will be randomized. Annahme: Angreifer sieht nicht viele Snapshots der Festplatte, z.b. guter Schutz bei Diebstahl eines Laptops. 24 / 32

25 ÜB2 Aufgabe 3c Python-Skript: Siehe Musterlösung. Hier: PAD(X i) := 2 i X mod 2 l. 25 / 32

26 Wdh.: Hashfunktionen Fingerabdruck H k : {0, 1} {0, 1} k k ist Sicherheitsparameter Kollisionsresistenz: Für alle PPT-Algorithmen A ist Pr[(X, X ) A(1 k ) : X X H k (X ) = H k (X )] vernachlässigbar. 26 / 32

27 Hashfunktionen: Beispiele Sei H : {0, 1} {0, 1} k eine kollisionsresistente Hashfunktion. Sind die folgenden Hashfunktionen ebenfalls kollisionsresistent? H (x) := H(x 1) H (x) := H(x) H(x) (x = bitweises Inverse von x) 27 / 32

28 Hashfunktionen: H H (x) := H(x 1) ist kollisionsresistent, denn: Angenommen es existiert PPT A, der x, x berechnet mit H (x) = H (x ). (mit nicht vernachlässigbarer Wkt.) Dann gilt H (x) = H(x 1) = H(x 1) = H (x ). Somit y = x 1, y = x 1 Kollision für H. Konstruiere aus A Angreifer gegen H. Widerspruch zur Kollsisionsresistenz von H. D.h. A kann nicht existieren und H ist kollisionsresistent. 28 / 32

29 Hashfunktion: H H (x) := H(x) H(x) ist nicht kollisionsresistent, denn: H (0) = H(0) H(1) = H(1) H(0) = H (1) Somit ist 0, 1 eine (von vielen möglichen) Kollision für H die ezient gefunden werden kann. Generell gilt: H (x) = H (x) 29 / 32

30 Kollisionsresistenz: Rezept Sei H kollisionsresistent, H aus H konstruiert (wie eben). Um Kollisionsresistenz zu zeigen: Konstruiere aus Kollision für H eine Kollision für H. (Kollision muss ezient berechenbar sein!) Um zu zeigen, dass H nicht kollisionsresistent: Zeige, wie man ezient eine Kollision berechnen kann! 30 / 32

31 Kollisionsresistenz: Rezept Zeige: H ist kollisionsresistent, weil Problem schwierig. (Problem z.b. RSA, diskreter Logarithmus...) Generelles Vorgehen Widerspruchsbeweis durch Reduktion Zeige: Kollisionen leicht berechenbar Problem leicht lösbar 31 / 32

32 Kollisionsresistenz: Rezept Auf Übungsblatt, Aufgabe 4: G zyklische Gruppe, prime Ordnung, g Erzeuger DLog: Geg. g, g x, berechne x (x zufällig gezogen) Annahme: DLog schwierig Vorgehen: Konstruiere aus geg. g, g x die Hashfunktion Zeige: Kollision leicht berechenbar x leicht berechenbar... Doktor Meta returns. 32 / 32