Authentifikation und digitale Signatur

Transkript

1 Kryptographie Authentifikation und digitale Signatur Dana Boosmann Matr.Nr.: Juni 2004

2 Authentifikation und Digitale Signatur Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung 2 2 Authentifikation 3 3 Digitale Signaturen RSA als Signaturverfahren Signaturen auf Basis des diskreten Logarithmus ElGamal-Signatur Digital Signature Algorithm (DSA) Blinde Signaturen Sicherheit von Signaturverfahren Einweg-Hashfunktionen MD RIPE-MD SHA Message Authentication Code (MAC) Zero-Knowledge-Protokolle Challenge-and-Response Die Idee der Zero-Knowledge-Protokolle

3 Authentifikation und Digitale Signatur 1 Einleitung 1 Einleitung Im Zeitalter der digitalen und drahtlosen Kommunikation wird der klassische Brief immer mehr durch abgelöst. Die Vorteile des neuen Mediums liegen auf der Hand: Mit geringem Aufwand können s verschickt werden und sie erreichen den Empfänger sehr schnell und asynchron. Trotzdem wird die bis heute für wichtige offizielle Dokumente wie z.b. Kaufverträge und Rechnungen immer noch sehr selten eingesetzt. Hierfür gibt es einen einfachen, offensichtlichen Grund, nämlich die fehlende Authentifikation des Absenders in Form einer Unterschrift. Problematisch ist auch, dass selbst ein Laie die Absenderadresse einer mit -Programmen beliebig verändern kann. Die Lösung für dieses Problem heißt digitale Signatur oder auch elektronische Unterschrift. Diese Technik ist bereits weit verbreitet und ermöglicht den Geschäftsverkehr nun auch per tätigen zu können. Den juristischen Boden hierfür hat das deutsche Signaturgesetz geebnet. In der Kryptographie sowie dieser Ausarbeitung dient ein möglichst einfaches Modell zum besseren Verständnis der Begrifflichkeiten: Zwei Personen (Alice und Bob) tauschen über einen abhörbaren Kanal (z.b. das Internet) Daten aus. Ein Bösewicht (Mallory) hört diesen Kanal nach Belieben ab und versucht die Übertragung zu beeinflussen. 2

4 Authentifikation und Digitale Signatur 2 Authentifikation 2 Authentifikation Das Wort Authentifikation ist von den aus der griechischen Sprache stammenden Begriffen authentikos - soviel wie zuverlässig, richtig - bzw. authentes - soviel wie Urheber, Täter - abgeleitet worden. Geht es also um die Authentifikation einer Informationsquelle, so ist deren Echtheit, Zuverlässigkeit oder auch Glaubwürdigkeit zu prüfen. Im täglichen Leben treten Authentifikationen in vielen Bereichen auf: beim Bankschalter, bei der Passkontrolle, bei Eingangskontrollen usw. Um die Echtheit der eigenen Person zu bezeugen, werden Merkmale der Identität mit gespeicherten Merkmalen verglichen. Bei Übereinstimmung wird die Identität akzeptiert. Für eine möglichst eindeutige und unverfälschbare Authentifikation werden in der Regel biometrische Merkmale genutzt. Nach obiger Aufzählung sind das beispielsweise die Unterschrift und der Fingerabdruck. Will Bob also die Echtheit von Alice überprüfen, hat er dafür grundsätzlich drei Möglichkeiten: Authentifizierung durch Wissen: Bob kontrolliert, ob Alice eine bestimmte Information kennt (etwas, was man weiß, wie z.b. ein Passwort oder eine Geheimzahl). Authentifizierung durch Besitz: Bob überprüft, ob Alice einen bestimmten, schwer zu fälschenden Gegenstand besitzt (etwas, was man hat, wie z.b. ein Ausweis). Authentifizierung durch persönliches Merkmal: Bob überprüft ein unverwechselbares, schwer fälschbares persönliches Merkmal von Alice (etwas, was man ist, wie z.b. die Unterschrift). 3

5 Authentifikation und Digitale Signatur 3 Digitale Signaturen 3 Digitale Signaturen Eine gute Unterschrift besitzt folgende Eigenschaften: Sie ist authentisch, d.h. sie zeigt, dass der Unterzeichner willentlich unterschrieben hat. Sie ist fälschungssicher. Sie beweist, dass der Unterzeichner und kein anderes Dokument kopiert werden. Sie ist nicht wiederverwendbar. Die Unterschrift kann nicht auf ein anderes Dokument kopiert werden. Das unterzeichnete Dokument ist unveränderbar. Nach der Unterzeichnung kann es nicht mehr geändert werden. Die Unterschrift ist bindend. Der Unterzeichner kann später nicht behaupten, dass er das Dokument nicht unterschrieben hat. Unterschriften mit Tinte auf Papier erfüllen keine dieser Aussagen vollständig. Eine digitalen Signatur ist eine (recht große) Zahl, die im Zusammenhang mit einem digitalen Dokument ähnliche Eigenschaften aufweist wie eine Unterschrift von Hand auf einem Dokument aus Papier. Sie erfüllt alle bis auf die erste Aussage mit einer sehr hohen Sicherheit. Die erste Aussage kann prinzipiell nicht garantiert werden. Der zweite Punkt wird dadurch gelöst, dass ein Passwort (privater Schlüssel) in die digitale Signatur eingeht. Damit kann jeder seine eigene, eindeutige digitale Unterschrift generieren, sofern niemand sonst den Schlüssel kennt. Die Tücke bei der Sache ist jedoch, dass es auch ohne Kenntnis des Schlüssels möglich sein muss, die Echtheit der Unterschrift zu überprüfen. Dazu wird ein öffentlicher Schlüssel verwendet. Mathematisch bedeutet dies: Gegeben sei eine Nachricht m, die Alice signieren will. Dazu hat sie einen öffentlich bekannten Schlüssel a und einen geheimen Schlüssel x. Das Unterschreiben entspricht hierbei der Berechnung einer Funktion u(m; x), die Unterschrift (Signatur) ist s = u(m; x). Da nur Alice x kennt, kann nur sie s berechnen. Will Bob nun prüfen (verifizieren), ob die Unterschrift echt ist, dann verwendet er eine andere Funktion v. Er berechnet m 0 = v(a; s). Falls m = m 0 gilt, ist die Unterschrift echt. 4

6 Authentifikation und Digitale Signatur 3 Digitale Signaturen Abbildung 1: Signiervorgang 3.1 RSA als Signaturverfahren Für digitale Signaturen können Alice und Bob auch das RSA-Verfahren einsetzen, wenn sie dazu lediglich die Verwendung der Schlüssel vertauschen. Will Alice eine Nachricht signieren, so "entschlüsselt"sie diese mit ihrem geheimen RSA-Schlüssel d (obwohl die Nachricht unverschlüsselt ist). Der resultierende "Klartext"ist die digitale Signatur. Bob verifiziert diese, indem er sie mit den Werten e und n per RSA "verschlüsselt". Erhält er so die ursprüngliche Nachricht zurück, dann ist die digitale Signatur echt. RSA kann somit sowohl zum Verschlüsseln als auch zum Signieren eingesetzt werden. 3.2 Signaturen auf Basis des diskreten Logarithmus Auf dem Gebiet der digitalen Signaturen ist RSA das wichtigste Verfahren. Praktische Relevanz hat jedoch noch die Familie der Signaturen auf Basis des diskreten Logarithmus (DLSSs, discrete logarithm signature systems). Diese sind eine Weiterentwicklung des Diffie-Hellman-Schlüsselaustauschs und basieren somit auf dem Problem des diskreten Logarithmus. Dies bedeutet, dass Bobs privater Schlüssel eine natürliche Zahl x und der öffentliche Schlüssel gx mod p ist. Insgesamt gibt es über Variationen des Signaturverfahren auf Basis des diskreten Logarithmus - in diesem Unterkapitel wird aber nur auf die zwei wichtigsten eingegangen: ElGamal und der Digital Signature Algorithm (DSA) ElGamal-Signatur ElGamal ist ein unpatentiertes, asymmetrisches Verschlüsselungsverfahren, welches nach seinem Entwickler benannt und 1985 veröffentlich wurde. Es basiert wie das Diffie-Hellman-Verfahren auf dem mathematischen Problem, diskrete Logarithmen zu berechnen. Bestandteile des Verfahrens sind sowohl Verschlüsselungs- als auch Un- 5

7 Authentifikation und Digitale Signatur 3 Digitale Signaturen terschriftsalgorithmen. Das Verfahren ist vom Diffie-Hellman abgeleitet und erweitert. Ein Nachteil des ElGamal ist die stattfindende Datenexpansion. Die Qualität der Zufallszahlen-Quelle ist hier ebenfalls von besonderer Bedeutung Digital Signature Algorithm (DSA) 1991 suchte das NIST (National Institute of Standards and Technology) nach einem Standard für digitale Signaturen und beauftragte die NSA (National Security Agency) mit der Entwicklung des Digital Signature Algorithm (DSA). Im Gegensatz zu anderen Algorithmen wie RSA oder ElGamal eignet er sich nicht zum Verschlüsseln. Es wird lediglich die Echtheit des Dokuments durch die Einweg-Hashfunktion SHA überprüft und die Signatur bestätigt. Gegebenenfalls kann der Klartext noch mit dem RSA-Verfahren verschlüsselt werden. Der DSA eignet sich aber hauptsächlich zur digitalen Unterschrift. Es gibt aber auch Implementierungen, die eine RSA-Verschlüsselung unterstützen. In der Folge gab es heftige Diskussionen über den Sinn der Einführung eines neuen Algorithmus als Standard. Viele Firmen wollten RSA als Standard für digitale Signaturen haben. Schließlich wurde doch der neue Algorithmus DSA zum Digital Signature Standard (DSS) für das Signieren von amerikanischen Regierungsdokumenten. DSA wird zum Beispiel in PGP ab Version fünf eingesetzt. Trotzdem konnte sich DSA gegenüber RSA nicht durchsetzen. 3.3 Blinde Signaturen Die Grundidee der blinden Signatur basiert auf einer Veröffentlichung von David Chaum aus dem Jahre Es ist ein raffiniertes Protokoll, das auf dem RSA-Algorithmus beruht. Eine Signatur heißt blind, wenn der Unterzeichner beim Unterschreiben das Dokument nicht sieht. Für elektronisches Bargeld spielen blinde Signaturen eine wichtige Rolle. Sie basieren auf folgender Idee: Will Alice ein Dokument M von Bob blind signieren lassen, so verpackt (verschlüsselt) sie dieses, lässt es von Bob signieren und packt es dann wieder aus (entschlüsselt es), und zwar so, dass die Unterschrift erhalten ist. Dies funktioniert genau dann, wenn Verschlüsseln und Signieren vertauschbar sind, d.h. wenn die entsprechenden mathematischen Operationen kommutativ sind. 3.4 Sicherheit von Signaturverfahren Wenn Mallory ein Signaturverfahren angreift, dann hat er dabei zwei mögliche Ziele: Entweder will er eine Signatur von Alice fälschen oder er möchte in den Besitz von 6

8 Authentifikation und Digitale Signatur 3 Digitale Signaturen Alices Schlüssel gelangen. Angriffe, die auch beim Verschlüsselungsverfahren funktionieren Die Angriffe, die auf RSA als Verschlüsselungsverfahren funktionieren, können meist auch auf RSA als Signaturverfahren angewendet werden. D.h. Mallory kann es also mit einer vollständigen Schlüsselsuche versuchen oder mit einer Faktorisierungsattacke. Eine Low-Exponent-Attacke wird dagegen nur dann funktionieren, wenn Bob die gleiche Nachricht mehrfach mit unterschiedlichen privaten Schlüsseln signiert. Auch die Reaktionsattacken funktionieren sowohl für RSA als Verschlüsselungs- sowie als Signaturverfahren. Ähnlich verhält es sich auch bei den Signaturverfahren auf Basis des diskreten Logarithmus. Da diese auf dem gleichen Prinzip wie Diffie-Hellman basieren, funktionieren größtenteils auch die gleichen Angriffe. Insbesondere gilt die Tatsache, dass Mallory durch eine Berechnung des diskreten Logarithmus sämtliche DLSSs knacken kann. Angriffe auf Signaturverfahren Neben den bereits beschriebenen Angriffen gibt es auch einige Angriffe, die nur bei Signaturverfahren funktionieren. Bei diesen Angriffen versucht Mallory, Alices digitale Signatur zu fälschen, ohne Alices Schlüssel zu kennen: Mallory kann eine Nachricht erstellen, die zu einer bereits bestehenden Signatur von Alice passt. Beim RSA-Verfahren kann Mallory Alice eine von ihm erstellte Nachricht zum Entschlüsseln vorlegen. Da eine RSA-Entschlüsselung praktisch das Gleiche ist wie eine RSA-Signierung, erhält Mallory dadurch eine gültige Signatur, vorausgesetzt er kommt an das Ergebnis der Entschlüsselung heran. Mallory kann Alices Signatur-Software so verändern, dass das, was Alice am Bildschirm sieht, nicht das ist, was signiert wird. Dieser Angriff ist zweifellos die größte Schwachstelle digitaler Signaturen überhaupt. Wenn es Mallory gelingt, durch einen Virus oder Trojaner Alices Software zu manipulieren, dann wird eine digitale Signatur schnell zur Farce: Wenn Alice etwa über das Web 100 Aktien ordert und die Bestellung signiert, dann kann ein manipulierter Web-Browser aus 100 problemlos 1000 machen, bevor die Bestellung signiert wird. Diese Änderung wird am Bildschirm natürlich nicht angezeigt. 7

9 Authentifikation und Digitale Signatur 3 Digitale Signaturen Nichtsdestotrotz gelten digitale Signaturen als ausreichend sicher, um mit ihnen tatsächlich Unterschriften von Hand zu ersetzen. 8

10 Authentifikation und Digitale Signatur 4 Einweg-Hashfunktionen 4 Einweg-Hashfunktionen Eine Einweg-Hashfunktion generiert aus einer Nachricht mit beliebiger Länge einen Hashwert mit konstanter Länge. Die Hashfunktion versichert, dass bei Änderung einer Nachricht ein völlig anderer Output generiert wird. Beim Signaturverfahren mit Hashfunktionen wird zunächst die Hashfunktion auf den Klartext angewendet. Der daraus generierte Hashwert wird mit dem privaten Schlüssel signiert. Dann wird der Klartext zusammen mit der Signatur verschickt. Der Empfänger verifiziert den Sender, indem er die Signatur mit dem öffentlichen Schlüssel entschlüsseln kann. Somit erhält er den Hashwert der Nachricht. Die Integrität der Nachricht kann der Empfänger überprüfen, indem er die Hashfunktion auf den Klartext anwendet. Erhält er denselben Hashwert wie zuvor, ist die Nachricht unverfälscht angekommen. Abbildung 2: Signieren mit Hashfunktion Die wichtigsten Eigenschaften von Hashfunktionen sind also: Einweg-Hashfunktionen bilden den Klartext in einer Prüfsumme (Hashwert) ab. Die Abbildung ist nicht umkehrbar (Einweg-Hashfunktion). Wird nur ein Zeichen des Klartextes verändert, so entsteht eine andere Prüfsumme. Es ist unmöglich für verschiedene Klartexte die gleichen Prüfsummen zu erzeugen. Die Prüfsumme hat immer die gleiche Länge und ist wesentlich kleiner als der Klartext. Es ist möglich, mit einem Schlüssel auch individuelle Prüfsummen zu erzeugen. 9

11 Authentifikation und Digitale Signatur 4 Einweg-Hashfunktionen Die Prüfsumme ist somit eine Art komprimierter Klartext. Nachfolgend werden kurz einige Verfahren zur Berechnung von kryptographischen Prüfsummen erklärt. 4.1 MD5 Message Digest (etwa: Zusammenfassung einer Nachricht) ist eine Einweg-Hashfunktion, die von Ron Rivest entworfen wurde. Der Algorithmus produziert einen 128 Bit langen Hashwert (oder Message Digest) der Eingabenachricht. MD5 ist der Nachfolger von MD4, der sich mit der Zeit als nicht so sicher herausstellte, wie er einst angepriesen wurde. MD5 verarbeitet den Eingabetext in Blöcken von 512 Bit, aufgeteilt in Teilblöcke der Länge 32 Bit. Durch Anhängen einer 64-Bit-Darstellung der Länge der Nachricht, eines einzelnen Bits mit dem Wert Eins und sonst Nullen, wird die Nachricht auf ein Vielfaches von 512 Bit aufgefüllt. Dadurch wird sichergestellt, daß verschiedene Nachrichten nach dem Auffüllen nicht identisch sind. Die Hauptschleife des Algorithmus besteht aus vier Runden, die vier 32-Bit-Verkettungsvariablen (A, B, C, D) mit nichtlinearen Funktionen und bitweise Rotationen verändert, und eine der Variablen durch das Ergebnis ersetzt. Abbildung 3: Hauptschleife von MD5 Nach jeder Runde werden initialisierte Variablen (a, b, c, d) zu den Verkettungsvariablen (A, B, C, D) addiert, die am Ende die Ausgabe des Algorithmus bilden. Der 128 Bit lange Hashwert ist eine Konkatenierung der vier 32 Bit langen Verkettungsvariablen. 10

12 Authentifikation und Digitale Signatur 4 Einweg-Hashfunktionen Abbildung 4: Eine Runde von MD5 (M j :::j tent eilblock; t i :::Konstanten) 4.2 RIPE-MD RIPEMD wurde für das RIPE-Projekt der EU entwickelt und ist eine Variante von MD4 mit einer Hashwertlänge von ursprünglich 128 Bit. Mittlerweile wurde die Ausgabe des Algorithmus auf 160 Bit erweitert. Um sie im Vergleich zu MD4 gegen kryptoanalytische Angriffe resistenter zu machen, wurden die Rotationen und die Reihenfolge der Nachrichtenwörter modifiziert. Außerdem sind zwei Algorithmen mit unterschiedlichen Parametern parallelisiert. 4.3 SHA Mit Secure Hash Algorithm wird die innerhalb des DSA verwendete Hashfunktion bezeichnet. Die Blocklänge beträgt 512 und der Hashwert 160 Bit. Der ursprüngliche Algorithmus wurde nach seiner Veröffentlichung modifiziert, so dass neben diesem Namen noch die Begriffe SHA-0 und SHA-1 verwendet werden. SHA-1 ist die modifizierte und in die Standards (zb. DSA) eingegangene Version des SHA. Durch Anhängen einer Eins, entsprechend vieler Nullen und einer binären Darstellung der Länge der Nachricht, wird diese auf ein Vielfaches von 512 Bit verlängert. Fünf 32-Bit-Variablen (A, B, C, D, E) werden initialisiert und in die Variablen (a, b, c, d, e) kopiert. In vier Runden mit 20 Operationen werden jeweils drei der fünf Variablen und die Nachricht in 512 Bit langen Blöcken mittels nichtlinearer Funktionen verarbeitet und das Ergebnis mit rundenabhängigen Konstanten Kt und Nachrichtenblöcken Wt addiert. Am Ende jeder Runde werden a bis e zu den Variablen A bis E addiert. 4.4 Message Authentication Code (MAC) Der Message Authentication Code dient ähnlich wie die digitale Signatur zur Wahrnehmung der Integrität und Authentizität von Nachrichten oder Dateien. Er stellt eine Prüfsumme mit bestimmten Eigenschaften dar. Allerdings könnte eine gewöhnliche 11

13 Authentifikation und Digitale Signatur 4 Einweg-Hashfunktionen Prüfsumme die Integrität nicht sicherstellen, da bei Änderung der Nachricht durch einen Angreifer die Prüfsumme neu berechnet werden kann. Um dies zu verhindern, verwendet man als MAC eine schlüsselabhängige Hash-Funktion. Der Hash-Wert kann nur vom Besitzer des Schlüssels berechnet werden. Will also ein Empfänger Integrität und Authentizität einer Nachricht überprüfen, so muss er den gleichen geheimen Schlüssel wie der Absender besitzen. Die Schlüsselabhängigkeit einer Einweg-Hashfunktion kann man z.b. dadurch erreichen, dass man den Hash-Wert f (M) mit einem symmetrischen Algorithmus E und dem Schlüssel K verschlüsselt. Man überträgt dann die Nachricht M zusammen mit dem Hash-Wert E K (f (M)) über die unsichere Leitung: (M; E K (f (M))) Der einzige Unterschied zur digitalen Signatur besteht in der Verwendung einer symmetrischen Chiffre statt eines Public-Key-Algorithmus. Da der Schlüssel K beiden Partnern bekannt sein muss, kann ein MAC nicht als Ersatz für eine digitale Signatur dienen. Er kann nur die Authentizität der Nachricht sicherstellen, nicht jedoch die des Absenders. Auf besonders einfache Weise erhält man einen MAC durch Verwendung einer symmetrischen Blockchiffre wie z.b. DES oder AES im CBC-Modus. Der letzte Chiffretextblock dient hier als MAC. 12

14 Authentifikation und Digitale Signatur 5 Zero-Knowledge-Protokolle 5 Zero-Knowledge-Protokolle 5.1 Challenge-and-Response Das Protokoll des Herausfordern und Antworten : Bob fordert Alice auf, mit einer Einweg-Hashfunktion f ihr Passwort und eine Zufallszahl zu verschlüsseln und ihm dann das Ergebnis zu schicken. Der Vorteil dieses Protokolls ist, dass kein Schlüssel übertragen wird und dass bei jeder neuen Authentifikation andere Daten übertragen werden. Der Nachteil ist jedoch, dass Bob in seiner Datenbank die Schlüssel (Passwörter) aller Benutzer im Klartext abspeichern muss. Aber auch für dieses Problem gibt es eine elegante Lösung, wie im folgenden Abschnitt gezeigt wird. Da dieses Protokoll sehr einfach ist und außerdem immer wieder andere Daten übermittelt werden, wird es als Authentifikationsverfahren für Chipkarten eingesetzt. 5.2 Die Idee der Zero-Knowledge-Protokolle Zero-Knowledge-Protokolle werden manchmal auch Zero-Knowledge-Beweise genannt. Sie werden dazu benutzt, jemanden, z.b. ein Bank-Terminal, davon zu überzeugen, dass man ein Geheimnis kennt, ohne jedoch auch nur ein Bit an Information über das Geheimnis preiszugeben. Das Prinzip wird im folgenden kurz an einem Beispiel erläutert. Beispiel: Der geheimnisvolle Geheimgang Auf der Kryptographie-Konferenz CRYPTO wurde das in nachfolgender Abbildung gezeigte anschauliche Beispiel vorgestellt. Abbildung 5: Peggy überzeugt Victor Peggy (prover) kennt eine Zauberformel um die Tür des Geheimgangs zu öffnen. Sie überzeugt Viktor (verifier) von ihrer magischen Kraft durch folgenden Beweis: Während Victor am Punkt A steht, geht sie in die Höhle zur magischen Tür durch einen der beiden Gänge. Dann geht Victor zu Punkt B und ruft ihr zu, durch welchen der beiden Gänge sie zurück kommen soll. Kommt sie nach der zehnten Wiederholung dieses Spiels immer durch den richtigen Gang zurück, so glaubt Victor an Peggys magische Kraft. Die magische Kraft ist jedoch damit nicht bewiesen. Peggy könnte einfach nur zehn 13

15 Authentifikation und Digitale Signatur 5 Zero-Knowledge-Protokolle mal Glück gehabt haben. Victor hat jedoch die Freiheit, Peggy beliebig oft zu testen. Falls Peggy keine magischen Kräfte besitzt und nur pokert, is sie bei n Wiederholungen mit einer Wahrscheinlichkeit von 1=2 n erfolgreich. Die Wahrscheinlichkeit für einen erfolgreichen Betrug bei 100 Wiederholungen ist daher

16 Authentifikation und Digitale Signatur Literatur Literatur [1] Buchmann, Einführung in die Kryptographie [2] Wolfgang Ertel, Angewandte Krytographie,Fachverlag Leipzig, 2001 [3] Klaus Schmeh, Kryptografie und Public-Key-Infrastrukturen im Internet, dpunkt.verlag GmbH Heidelberg, 2001 [4] William Stallings, Cryptography and Network Security, Pearson Education Inc., 2003 [5] K. Fuhrberg, D. Häger, S. Wolf, Internet-Sicherheit, Carl Hanser Verlag München Wien, 2001 [6] [7] EBanking/schwartz2.pdf 15

17 Authentifikation und Digitale Signatur Abbildungsverzeichnis Abbildungsverzeichnis 1 Signiervorgang Signieren mit Hashfunktion Hauptschleife von MD Eine Runde von MD5 (M j :::j tent eilblock; t i :::Konstanten) Peggy überzeugt Victor