Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Transkript

1 Digitale Signaturen Einmalsignaturen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK B. Kaidel Digitale Signaturen: Einmalsignaturen KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft

2 Socrative: Wiederholung Room: SIGNATUREN Bitte jetzt einloggen, falls ihr mitmachen wollt :) Bleibt am Besten einfach während der VL eingeloggt. Erstes Quiz läuft bereits & kann ausgefüllt werden! B. Kaidel Digitale Signaturen: Einmalsignaturen

3 Inhalt Einmalsignaturen (Kap. 2) Einmalsignaturen aus Einwegfkt. (Kap 2.2) Warum Annahmen? B. Kaidel Digitale Signaturen: Einmalsignaturen

4 Einmalsignaturen Generelles Ziel: Signaturen, die viele Nachrichten signieren können. Vorstufe: Signaturen, die nur eine Nachricht sicher signieren können. Genannt Einmalsignaturen. Können auch mehrmals verwendet werden werden dann aber evtl. unsicher! Also: Keine Sicherheitssaussage mehr bei mehrfacher Verwendung B. Kaidel Digitale Signaturen: Einmalsignaturen

5 EUF-1-CMA & EUF-1-naCMA C EUF-1-CMA pk A C EUF-1-naCMA m A m σ pk, σ m, σ m, σ Vfy(pk, m, σ ) = 1 m = m? Rest (Def., Gewinnbedingung etc.): Analog zu normaler EUF-CMA/-na-CMA-Def B. Kaidel Digitale Signaturen: Einmalsignaturen

6 Warum Einmalsignaturen? Hilfreicher Baustein für stärkere Verfahren. Einfach(er) zu konstruieren. Generisch auf Mehrmal -Signaturen erweiterbar B. Kaidel Digitale Signaturen: Einmalsignaturen

7 Einwegfunktionen Einwegfunktion f : {0, 1} {0, 1} Idee: Geg. x {0, 1} ist f (x) leicht/effizient berechenbar. Geg. y = f (x) ist es schwer f 1 (y) zu berechnen. Anm: Einwegfunktion sind ein grundlegender Krypto-Baustein! B. Kaidel Digitale Signaturen: Einmalsignaturen

8 Einwegfunktionen-Sicherheitsexperiment Ideen? B. Kaidel Digitale Signaturen: Einmalsignaturen

9 Einwegfunktionen-Sicherheitsexperiment x {0, 1} k y := f (x) C Einweg y A B. Kaidel Digitale Signaturen: Einmalsignaturen

10 Einwegfunktionen-Sicherheitsexperiment x {0, 1} k y := f (x) C Einweg y A x f (x ) = y? A gewinnt, falls f (x ) = y. Anm: Es muss nicht x = x gelten! B. Kaidel Digitale Signaturen: Einmalsignaturen

11 Einwegfunktion (Definition) Def. 22 (Einwegfunktion): Eine Funktion f ist eine Einwegfunktion, wenn f in Polynomialzeit berechenbar ist und für alle PPT A gilt, dass Pr[A(1 k, y := f (x)) = x : x {0, 1} k, f (x ) = y] negl(k) für eine in k vernachlässigbare Funktion negl B. Kaidel Digitale Signaturen: Einmalsignaturen

12 Einwegfunktionen: Kandidaten Existenz von Einwegfkt. impliziert P = N P. Existenz daher unklar B. Kaidel Digitale Signaturen: Einmalsignaturen

13 Einwegfunktionen: Kandidaten Existenz von Einwegfkt. impliziert P = N P. Existenz daher unklar. Kandidaten: kryptographische Hashfunktionen diskrete Exponentialfunktion x g x g Erzeuger von zyklischer Gruppe G RSA-Funktion x x e mod N für geeignete (e, N) Später mehr dazu! B. Kaidel Digitale Signaturen: Einmalsignaturen

14 Lamports Einmalsignaturverfahren (Kap ) Σ = (Gen, Sign, Vfy) Nachrichtenraum {0, 1} n, n = n(k) Benötigt Einwegfunktion f B. Kaidel Digitale Signaturen: Einmalsignaturen

15 Lamports Einmalsignaturverfahren (Kap ) Σ = (Gen, Sign, Vfy) Nachrichtenraum {0, 1} n, n = n(k) Benötigt Einwegfunktion f Gen(1 k ) : Wähle x 1,0, x 1,1,..., x n,0, x n,1 zufällig aus {0, 1} k j {1,..., n} : y j,0 := f (x j,0 ) und y j,1 := f (x j,1 ) B. Kaidel Digitale Signaturen: Einmalsignaturen

16 Lamports Einmalsignaturverfahren (Kap ) Σ = (Gen, Sign, Vfy) Nachrichtenraum {0, 1} n, n = n(k) Benötigt Einwegfunktion f Gen(1 k ) : Wähle x 1,0, x 1,1,..., x n,0, x n,1 zufällig aus {0, 1} k j {1,..., n} : y j,0 := f (x j,0 ) und y j,1 := f (x j,1 ) ( ) x1,0... x sk = n,0 x 1,1... x n,1 ( ) y1,0... y pk = n,0 y 1,1... y n, B. Kaidel Digitale Signaturen: Einmalsignaturen

17 Lamports Einmalsignaturverfahren (2) Sign(sk, m) : ( ) x1,0... x sk = n,0 x 1,1... x n,1 ( ) y1,0... y pk = n,0 y 1,1... y n,1 Ideen? B. Kaidel Digitale Signaturen: Einmalsignaturen

18 Lamports Einmalsignaturverfahren (2) ( ) x1,0... x sk = n,0 x 1,1... x n,1 Sign(sk, m) : m = m 1 m 2... m n {0, 1} n σ = (x 1,m1, x 2,m2,..., x n,mn ) ( ) y1,0... y pk = n,0 y 1,1... y n, B. Kaidel Digitale Signaturen: Einmalsignaturen

19 Lamports Einmalsignaturverfahren (2) ( ) x1,0... x sk = n,0 x 1,1... x n,1 Sign(sk, m) : m = m 1 m 2... m n {0, 1} n σ = (x 1,m1, x 2,m2,..., x n,mn ) ( ) y1,0... y pk = n,0 y 1,1... y n,1 Vfy(pk, m, σ) : B. Kaidel Digitale Signaturen: Einmalsignaturen

20 Lamports Einmalsignaturverfahren (2) ( ) x1,0... x sk = n,0 x 1,1... x n,1 Sign(sk, m) : m = m 1 m 2... m n {0, 1} n σ = (x 1,m1, x 2,m2,..., x n,mn ) ( ) y1,0... y pk = n,0 y 1,1... y n,1 Vfy(pk, m, σ) : Ideen? B. Kaidel Digitale Signaturen: Einmalsignaturen

21 Lamports Einmalsignaturverfahren (2) ( ) x1,0... x sk = n,0 x 1,1... x n,1 Sign(sk, m) : m = m 1 m 2... m n {0, 1} n σ = (x 1,m1, x 2,m2,..., x n,mn ) ( ) y1,0... y pk = n,0 y 1,1... y n,1 Vfy(pk, m, σ) : m = m 1... m n, σ = (x 1, x 2,..., x n) Überprüfe für alle i {1,..., n}, ob gilt: f (x i ) = y i,m i? Correctness: Klar. Beispiel: Tafel B. Kaidel Digitale Signaturen: Einmalsignaturen

22 Lamport: Sicherheit Theorem 23: Für jeden EUF-1-naCMA PPT-Angreifer A mit Laufzeit t A und Erfolgswkt. ɛ A existiert ein PPT- Angreifer B, der f invertiert, in Zeit t B t A mit Erfolgswkt. ɛ B ɛ A /n B. Kaidel Digitale Signaturen: Einmalsignaturen

23 Lamport: Sicherheit Theorem 23: Für jeden EUF-1-naCMA PPT-Angreifer A mit Laufzeit t A und Erfolgswkt. ɛ A existiert ein PPT- Angreifer B, der f invertiert, in Zeit t B t A mit Erfolgswkt. ɛ B ɛ A /n. Beweisidee: Reduktion: EUF-1-naCMA-Sicherheit auf Einwegeigenschaft von f. Simulation: B simuliert EUF-1-naCMA-Spiel für A. Extraktion: B verwendet Ausgabe von A, um zu gewinnen B. Kaidel Digitale Signaturen: Einmalsignaturen

24 Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-naCMA C Einweg B A B. Kaidel Digitale Signaturen: Einmalsignaturen

25 Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-naCMA C Einweg B A x {0, 1} k y := f (x) y B. Kaidel Digitale Signaturen: Einmalsignaturen

26 Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-naCMA C Einweg B A x {0, 1} k y := f (x) y m = m 1... m n 1 Berechne pk, sk, σ geeignet pk, σ B. Kaidel Digitale Signaturen: Einmalsignaturen

27 Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-naCMA C Einweg B A x {0, 1} k y := f (x) y m = m 1... m n 1 Berechne pk, sk, σ geeignet pk, σ 2 x m, σ B. Kaidel Digitale Signaturen: Einmalsignaturen

28 Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-naCMA C Einweg B A x {0, 1} k y := f (x) y m = m 1... m n 1 Berechne pk, sk, σ geeignet pk, σ 2 x m, σ = Simulation, 3 = Extraktion B. Kaidel Digitale Signaturen: Einmalsignaturen

29 Lamport: Sicherheitsbeweis (Zusammenfassung) Benutze A, um f 1 (x) zu berechnen, indem man f (x) in den Public Key einbettet, sodass: B die Nachricht m signieren kann (wähle Rest von pk selbst). A mit hoher Wkt. zum Fälschen f 1 (x) berechnen muss. Anm: Lamport auch EUF-1-CMA-sicher - Beweis (fast) analog. (ÜB 25) B. Kaidel Digitale Signaturen: Einmalsignaturen

30 Lamport: Zusammenfassung EUF-1-CMA-sicher Einfach & Elegant Benötigt nur Existenz von Einwegfunktionen (schwächste Krypto-Annahme!) Nicht sehr effizient Viele Auswertungen der Einwegfunktion Sehr große Schlüssel B. Kaidel Digitale Signaturen: Einmalsignaturen

31 Socrative Room: SIGNATUREN Wie häufig kann man eine Einmalsignatur verwenden? Wie häufig kann man eine Einwegfunktion verwenden? Ist Lamports Einmalsignatur EUF-CMA-sicher? Kann man aus einer Lamport-Einmalsignatur die signierte Nachricht berechnen? Impliziert die Existenz von Signaturen P = N P? B. Kaidel Digitale Signaturen: Einmalsignaturen

32 UUF-NMA Exkurs (Skript) Konstruiere aus Einwegfunktion f folgende Signatur: Gen(1 k ) : sk {0, 1} k, pk = f (sk) Sign(sk, m) = sk Vfy(pk, m, σ): f (σ) = pk? B. Kaidel Digitale Signaturen: Einmalsignaturen

33 UUF-NMA Exkurs (Skript) Konstruiere aus Einwegfunktion f folgende Signatur: Gen(1 k ) : sk {0, 1} k, pk = f (sk) Sign(sk, m) = sk Vfy(pk, m, σ): f (σ) = pk? Ist tatsächlich UUF-NMA-sicher B. Kaidel Digitale Signaturen: Einmalsignaturen

34 UUF-NMA Exkurs (Skript) Konstruiere aus Einwegfunktion f folgende Signatur: Gen(1 k ) : sk {0, 1} k, pk = f (sk) Sign(sk, m) = sk Vfy(pk, m, σ): f (σ) = pk? Ist tatsächlich UUF-NMA-sicher... Und sogar EUF-NMA-sicher B. Kaidel Digitale Signaturen: Einmalsignaturen

35 Warum Annahmen? (Skript) Bisherige Annahmen: Existenz von kollisionsresistenten Hashfunktionen Existenz von Einwegfunktionen Weitere Annahmen folgen... Warum eigentlich Annahmen? B. Kaidel Digitale Signaturen: Einmalsignaturen

36 Warum Annahmen? (2) (Skript) Theorem: Sei Σ = (Gen, Sign, Vfy) ein Signaturverfahren. Ist Σ UUF-NMA-sicher, so gilt P = N P B. Kaidel Digitale Signaturen: Einmalsignaturen

37 Beweis: UUF-NMA P = N P (Skript) Beweisskizze (Widerspruchsbeweis): Sei P = N P. Betrachte die Sprache L Σ = {(pk, m, σ) : σ ist Präfix von σ mit Vfy(pk, m, σ) = 1} Es gilt: L Σ N P (Zeuge ist σ) P = N P B, der in Polyzeit (pk, m, σ) L Σ entscheidet B. Kaidel Digitale Signaturen: Einmalsignaturen

38 Beweis: UUF-NMA P = N P (2) (Skript) L Σ = {(pk, m, σ) : σ ist Präfix von σ mit Vfy(pk, m, σ) = 1}. UUF-NMA Angreifer: Verwendet B um σ zu m, pk zu finden (bitweise Suche) Signaturen haben polynomielle Länge, d.h. Laufzeit ist polynomiell. Erfolgswkt. gleich 1. Daraus folgt: Σ nicht UUF-NMA-sicher. Insgesamt folgt P = N P B. Kaidel Digitale Signaturen: Einmalsignaturen

39 Socrative Room: SIGNATUREN Teacher s Question: Anmerkungen zur VL, Wünsche, Kritik, B. Kaidel Digitale Signaturen: Einmalsignaturen