Vorlesung Sicherheit

Transkript

1 Vorlesung Sicherheit Dennis Hofheinz IKS, KIT / 25

2 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA Sicherheit von RSA Sicheres RSA 2 / 25

3 Erinnerung Thema Hashfunktion: H : {0, 1} {0, 1} k (k Sicherheitsparameter) Haupteigenschaft: Kollisionsresistenz schwer, X X mit H(X ) = H(X ) zu finden 3 / 25

4 Birthday Attack Idee: betrachte viele Y i := H(X i ) für zufällige X i Vereinfachend: Y i {0, 1} k unabhängig gleichverteilt Theorem (Birthday Bound, ohne Beweis) Sei n 2 k/2 und Y 1,..., Y n {0, 1} k unabhängig gleichverteilt. Dann gibt es i j mit Y i = Y j mit Wkt. p > (1/11) (n 2 /2 k ). Konsequenz: für n = 2 k/2 zufällige (verschiedene) X i Kollisionen unter den Y i mit Wahrscheinlichkeit p > 1/11 Vorgehen (Aufwand Θ(k 2 k/2 ) Schritte, Θ(k 2 k/2 ) Bits): 1 Schreibe (X i, Y i ) in Liste (X i {0, 1} 2k glv., Y i = H(X i )) 2 Sortiere Liste nach Y i 3 Untersuche Liste auf Y i -Kollisionen 4 / 25

5 Weitere Angriffe, Konsequenzen Auch Meet-in-the-Middle-Angriff manchmal möglich Setzt spezielle Struktur von Hashfunktionen voraus: Hashwert sollte sich rückwärts berechnen lassen Aufwand: asymptotisch wie Birthday Attack Lehre: Hash-Ausgabe k Bits für k/2 Bits Sicherheit Ausgabelängen: MD5 128, SHA-1 160, SHA-3 variabel 5 / 25

6 Zusammenfassung Hashfunktionen Hashwert Fingerabdruck der Eingabe Kollisionsresistenz Einwegeigenschaft Populäre Strategie: Merkle-Damgård Ausgabelänge k Bits für k/2 Bits Sicherheit Populäre Verfahren: MD5, SHA-1, SHA-3 (Keccak) Aber: MD5, SHA-1 gebrochen 6 / 25

7 Aktuelle Forschung Hashfunktionen, deren Sicherheit auf gut untersuchten Problemen beruht (z.b. Berechnungsprobleme in Gittern) Untersuchung von generischen Strategien (wie Merkle-Damgård) in idealisierten Modellen Kryptoanalyse: Weitere Anwendungen und Erweiterungen von bekannten Angriffen auf z.b. MD5, SHA-1, Beispiele: gefälschte Webseiten-Zertifikate (Flame) gefälschte Signaturen für (Postscript-)Dokumente Grundidee: gegeben (Signatur von) H(M), finde sinnvolles M mit H(M ) = H(M) (für das die Signatur dann gilt) 7 / 25

8 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA Sicherheit von RSA Sicheres RSA 8 / 25

9 Motivation Symmetrische Verschlüsselung: gemeinsames Geheimnis K Alice K C:=Enc(K,M) Bob K Bei n Benutzern ( n 2) = n (n 1)/2 Schlüsselpaare Zudem kann Schlüsselverteilung problematisch sein Auftritt Merkle (1974) und Diffie und Hellman (1976): Quelle: Wikipedia 9 / 25

10 Grundidee Asymmetrische (oder Public-Key-)Verschlüsselung: Alice sk C:=Enc(pk,M) Bob pk Verschlüsselung mit pk: C Enc(pk, M) Entschlüsselung mit sk: M Dec(sk, C) pk und sk gemeinsam generiert: (pk, sk) Gen(1 k ) pk darf veröffentlicht werden, sk muss geheim bleiben 10 / 25

11 Erste Eigenschaften Alice sk C:=Enc(pk,M) Bob pk Keine (geheime) Schlüsselverteilung, pk öffentlich Bei n Benutzern n öffentliche (und n geheime) Schlüssel Problem: Diffie und Hellman hatten kein Verfahren Auftritt Rivest, Shamir und Adleman (1977): (Quelle: ams.org) 11 / 25

12 Überblick RSA pk = (N, e) sk = (N, d) N = PQ für (hinreichend große) Primzahlen P Q Rechnung in Z N := Z/NZ (d.h. Rechnung modulo N) e und d sind zueinander inverse Exponenten Genauer: e d = 1 mod ϕ(n) (mit ϕ(n) = (P 1)(Q 1)) Nachrichtenraum ist M := Z N Enc(pk, M) = M e mod N Dec(sk, C) = C d mod N 12 / 25

13 RSA-Schlüsselgenerierung Gesucht: pk = (N, e) sk = (N, d) Gen wählt P und Q zufällig von vorgegebener Bitlänge k: Gängig: wähle gleichverteiltes ungerades P {2 k,..., 2 k+1 }... bis P prim (Primalitätstest z.b. Miller-Rabin), analog für Q Um e und d zu erhalten: Wähle zufällig gleichverteilt e {3,..., ϕ(n) 1}... bis gcd(e, ϕ(n)) = 1 Berechne d = e 1 mod ϕ(n) mit erweitertem Euklid: EE(e, ϕ(n)) = (α, β) mit α e + β ϕ(n) = gcd(e, ϕ(n)) = 1 Damit ist α e = 1 mod ϕ(n), setze also d := α mod ϕ(n) 13 / 25

14 Korrektheit von RSA Für Korrektheit sollte gelten: (M e ) d = M ed = M mod N Zutaten (ohne Beweis): Theorem (Kleiner Satz von Fermat, ohne Beweis) Für primes P und M {1,..., P 1} gilt M P 1 = 1 mod P. Konsequenz: M Z P, α Z : (M P 1 ) α M = M mod P Theorem (Chinesischer Restsatz, ohne Beweis) Sei N = PQ mit P, Q teilerfremd. Dann ist die Abbildung µ : Z N Z P Z Q mit µ(m) = (M mod P, M mod Q) bijektiv. Also: (X = Y mod P) (X = Y mod Q) = X = Y mod N 14 / 25

15 Korrektheit von RSA Theorem (Korrektheit von RSA) Sei N, e, d wie oben. Dann ist M ed = M mod N für alle M Z N. Beweis. Es gilt ed = 1 mod (P 1)(Q 1) nach Definition, deshalb: (P 1)(Q 1) ed 1 P 1 ed 1 ed = α(p 1) + 1 für α Z Analog: M ed = M mod Q Chinesischer Restsatz M ed = M mod N M ed = (M P 1 ) α M Fermat = M mod P 15 / 25

16 Sicherheit? Diskussion: Was wollen wir eigentlich? Wieder Einschränkung auf passive Sicherheit/Angriffe 16 / 25

17 Semantische Sicherheit für Public-Key-Verschlüsselung Definition (Semantische Sicherheit für Public-Key-Verfahren) Ein Public-Key-Verschlüsselungsschema ist semantisch sicher, wenn es für jede M-Verteilung von Nachrichten gleicher Länge, jede Funktion f und jeden PPT-Algorithmus A einen PPT-Algorithmus B gibt, so dass Pr [ A(1 k, pk, Enc(pk, M)) = f (M) ] [ ] Pr B(1 k ) = f (M) vernachlässigbar (als Funktion im Sicherheitsparameter) ist. Unhandlich, aber (wie symmetrisch) äquivalent zu IND-CPA (... wobei IND-CPA für Public-Key-Verschlüsselung analog) 17 / 25

18 Sicherheit von RSA RSA nicht semantisch sicher f (M) = M e mod N kann mit Chiffrat berechnet werden Aber ohne Chiffrat keine Information über M Angriff nutzt aus, dass RSA deterministisch Intuitiv überzeugender: beispielsweise Enc(pk, annehmen) und Enc(pk, ablehnen) bei RSA effizient unterscheidbar (keine IND-CPA-Sicherheit) 18 / 25

19 Weitere Angriffe auf RSA Was, wenn e = 3 (aus Effizienzgründen) für alle Benutzer? Problem, wenn M an 3 Benutzer gesendet wird Angreifer kennt Chiffrate M 3 mod N i für 1 i 3 Chinesischer Restsatz M 3 mod N 1 N 2 N 3 Wegen 0 M N 1, N 2, N 3 ist M 3 mod N 1 N 2 N 3 = M 3 Z Wurzelziehen über Z liefert M Weitere schlechte Idee: gleiches N für mehrere Benutzer 19 / 25

20 Homomorphie von RSA Es gilt (Rechnung modulo N): Enc(pk, M) Enc(pk, M ) = M e M e = (M M ) e = Enc(pk, M M ) Problem z.b. bei Auktionen: Auktionator A veröffentlicht pk, behält sk Bieter B 1, B 2 senden verschlüsselte Gebote C i := Enc(pk, M i ) an Auktionator A entschlüsselt C i, Bieter mit höchstem Gebot erhält Ware Angriff: B 2 wartet B 1 s Gebot ab, setzt C 2 := C 1 Enc(pk, 2) mod N 20 / 25

21 Lösungsvorschläge? Diskussion: Wie könnte man RSA reparieren? 21 / 25

22 RSA-Padding Erster Ansatz (PKCS#1 1.5, 1993): (Randomized) Padding Enc(pk, M) = (pad(m, R)) e mod N (mit Zufall R) Dec erhält und überprüft pad(m, R), und extrahiert M Beispiel: pad(m, R) = M 0 l R (mit M, R N) PKCS#1 1.5 problematisch Kein Sicherheitsbeweis, 1998 sogar Problem gefunden Homomorphe Eigenschaft der RSA-Funktion erlaubt subtile Änderungen an Nachricht PKCS#1 2.0 nutzt RSA-OAEP : besseres Padding 22 / 25

23 RSA-OAEP pad-funktion von RSA-OAEP (G, H Hashfunktionen): Quelle: Wikipedia 23 / 25

24 Sicherheit von RSA-OAEP Heuristisch so sicher wie RSA-Funktion invertieren Bester bekannter Angriff: N faktorisieren P, Q ϕ(n) = (P 1)(Q 1) d = e 1 mod ϕ(n) Bester bekannter Faktorisierungsalgorithmus: Zahlkörpersieb Nach heutigem Stand 1024 als Bitlänge von N grenzwertig Offene Forschungsfrage: N faktorisieren notwendig, um RSA(-OAEP) zu brechen? 24 / 25

25 Relevanz von RSA(-OAEP) Nachteil von RSA(-OAEP): rechenaufwändig Naiver Algorithmus für Exponentiation modulo l-bit-zahl benötigt Θ(l 3 ) Bitoperationen, schlecht parallelisierbar Es existieren (asymptotisch) bessere Algorithmen Aber: Für realistische l ist naiver Algorithmus am schnellsten Gründe, warum RSA(-OAEP) trotzdem benutzt wird: Einfach zu implementieren Einfache Arithmetik Ver- und Entschlüsselung sehr ähnlich Mit Optimierungen (e = 3 bei Verschlüsselung, CRS nutzen bei Entschlüsselung) teilweise konkurrenzfähig 25 / 25