Verteilte Kyroptographie

Transkript

1 Verteilte Kyroptographie Klassische kryptographische Verfahren Kryptographische Hash-Funktionen Public-Key-Signaturen Verteilte Mechanismen Schwellwert-Signaturen Verteilt generierte Zufallszahlen Verteilte Algorithmen (VA), WS 2003/ Klassische kryptographische Verfahren Hashfunktionen Reproduzierbare Abbildung von Nachrichten beliebiger Länge auf ein Wort fester Länge Nachricht m beliebig Hash-Wert h = H(m) daraus berechenbar, z.b. 128 bit Kryptographisch sichere Hashfunktionen Es ist mit vertretbaren Aufwand nicht möglich, zwei Nachrichten m 1, m 2 zu finden mit H(m 1 )=H(m 2 ) Beispiele MD5 SHA-1 Verteilte Algorithmen (VA), WS 2003/04 101

2 Beze Klassische kryptographische Verfahren Kryptographische Hashfunktionen Anwendung: Digitale Signaturen Anstelle eine digitale Signatur über eine komplette Nachricht zu berechnen, wird die Signatur nur über den Hash-Wert der Nachricht generiert Bei sicheren Hash-Funktionen ist es einem Angreifer mit vertretbaren Aufwand nicht möglich, eine zweite Nachricht zu konstruieren, die den selben Hashwert hat (und damit die gleiche gültige Signatur besitzen würde) Verteilte Algorithmen (VA), WS 2003/ Klassische kryptographische Verfahren Public-Key-Signaturen Begriffe PK: öffentlicher Schlüssel (Public Key), zur Verifikation SK: geheimer Schlüssel (Private Key/Secret Key), zur Signierung σ: Signatur Operationen Schlüsselerzeugung: Signierung: Verifikation: Parameter Nachricht, SK Nachricht, σ, PK -> (PK, SK) -> σ -> {true, false} Verteilte Algorithmen (VA), WS 2003/04 103

3 Klassische kryptographische Verfahren Public-Key-Signaturen: Beispiel RSA Schlüsselerzeugung Wähle zwei geeignete Primzahlen p, q n = p * q; φ(n) = (p-1)(q-1) Wähle e mit 1 < e < φ(n) und ggt(e, φ(n)) = 1 Berechne d = e -1 mod φ(n) ( => e d = 1 mod φ(n) ) Öffentlicher Schlüssel: (e, n); Privater Schlüssel (d, n) Verteilte Algorithmen (VA), WS 2003/ Klassische kryptographische Verfahren Public-Key-Signaturen: Beispiel RSA Signatur-Erzeugung (für Nachricht m) H(m) ist kryptographische Hash-Funktion über der Nachricht m s = H(m) e mod n Signatur-Überprüfung h = s d mod n Teste ob h == H(m) ist Verteilte Algorithmen (VA), WS 2003/04 105

4 Klassische kryptographische Verfahren Public-Key-Signaturen: Beispiel RSA Begründung Euler, 1760: Si fuerit N ad x numerus primus et n numerus partium ad N primarum, tum potestas x n unitate minuta semper per numerum N erit divisibilis. (d.h. x φ(n) = 1 mod N) (H(m) e ) d mod n = H(m) r φ(n) + 1 mod n = H(m) 1 mod n = H(m) Verteilte Algorithmen (VA), WS 2003/ Schwellwert-Signaturen Ziel: Mehrere Knoten können (nur) gemeinsam eine digitale Signatur erzeugen (n, k, t)-schwellwert-signatur: Verfahren für n Teilnehmer Jeweils k Teilnehmer können gemeinsam eine Signatur erzeugen Bis zu t Teilnehmer dürfen sich dabei fehlerhaft verhalten Randbedingungen: k > t (an jeder gültigen Signatur müssen fehlerfreie Knoten mitwirken) k <= n-t (gültige Signaturen können ohne Mitwirken von fehlerhaften Knoten erzeugt werden) Verteilte Algorithmen (VA), WS 2003/04 107

5 Schwellwert-Signaturen n Knoten (max. t fehlerhaft) k Teilsignaturen Kombinationsalgorithmus gültige Signatur s Randbedingung n-t k > t Verteilte Algorithmen (VA), WS 2003/ Schwellwert-Signaturen Sicherheitsanforderungen Ein Angreifer kann nicht erreichen, dass k gültige Teilsignaturen erzeugt werden, aus denen durch den Kombinationsalgorithmus keine gültige Signatur entsteht Ein Angreifer kann keine gültige Signatur erzeugen, falls weniger als k-t ehrliche Knoten eine Teilsignatur erzeugt haben Anforderung an den Kombinationsalgorithmus Ergebnis ist eine einfach zu überprüfende Gesamtsignatur Hier betrachtetes Verfahren: gewöhnliche RSA-Signatur Verteilte Algorithmen (VA), WS 2003/04 109

6 Grundlage: Polynom-Interpolation Ein Polynom f von Grad k - 1 ist durch k Stützstellen eindeutig definiert Interpolationsformel (Lagrange) f( x) = f( s) λ s ( x) s S Verteilte Algorithmen (VA), WS 2003/ Polynom-Interpolation: Anwendung auf RSA Verteiltung des Sekret Key auf die n Teilnehmer in Form von Stützstellen eines Polynoms von Grad k d = f(0) RSA-Secret-Key s i := f(i) Schlüssel-Share für Teilnehmer i m i := m s i Signatur-Share des Teilnehmers i Verteilte Algorithmen (VA), WS 2003/04 111

7 Polynom-Interpolation: Anwendung auf RSA (2) f( s) λ s ( 0) m d m f( 0) s S m ( m f( s) ) λ s ( 0) λ s 0 = = = = m i s S i ( ) Verteilte Algorithmen (VA), WS 2003/ Polynom-Interpolation: Anwendung auf RSA (2) f( s) λ s ( 0) m d m f( 0) s S m ( m f( s) ) λ s ( 0) λ s 0 = = = = m i s S i ( ) Gesamtsignatur ist aus den Signatur-Shares berechenbar, die Schlüssel-Shares können geheim bleiben Verteilte Algorithmen (VA), WS 2003/04 113

8 Schwellwert-Signaturen: Beispiele Annahme (Anwendung bei Einigungsalgorithmen) n Knoten insgesamt t fehlerhafte Knoten n = 3 t + 1 Ausprägungen (n, n-t, t)-schema: An jeder Signatur sind n-t Knoten, und somit sicher die Mehrheit der fehlerfreien Knoten beteiligt (n, t+1, t)-schema: An jeder Signatur ist mindestens ein korrekter Knoten beteiligt Verteilte Algorithmen (VA), WS 2003/ Zusätzliche Randbedingungen Signatur-Shares müssen sich auf Gültigkeit überprüfen lassen Angreifer darf nicht in der Lage sein, durch Erzeugung eines ungültigen Shares die Erzeugung einer gültigen digitalen Signatur zu behindern Verteilung des Schlüssels muss gelöst werden Initiale Erzeugung des geheimen Schlüssel und der Key-Shares erfordert im beschriebenen Verfahren einen Knoten, der in jedem Fall vertrauenswürdig sein muss Verteilte Algorithmen (VA), WS 2003/04 115

9 Verteilte Erzeugung von Zufallszahlen Basierend auf (n,k,t)-schwellwert-signatur k "Shares" n Knoten (max. t fehlerhaft) Kombinationsalgorithmus Wert F(x) aus {0, 1} Randbedingung n-t k > t F(x) sei eine nicht vorhersehbare Funktion, die einen beliebigen Eingabewert auf {0, 1} abbildet: Jeder Knoten kann ein "Share" von F(x) erzeugen k Shares sind notwendig und hinreichend, um den Wert von F(x) zu ermitteln Verteilte Algorithmen (VA), WS 2003/04 116