Message Authentication Codes

Transkript

1 Message Authentication Codes Martin Schütte 30. Nov. 2004

2 Gliederung Denitionen Grundlegende Begrie Konstruktion von MACs häug benutzte MACs Einschätzung der Sicherheit Bedingungslos sichere MACs zusätzliche Denitionen Universelle Hash-Familien Schluss

3 Was ist ein Message Authentication Code (MAC)? keyed hash function Funktion h(k, x) bzw. Funktionenfamilie h K (x), bildet Nachrichten x und Schlüssel K auf MACs oder Tags ab Nur die Kommunikationspartner sollen den MAC berechnen können Authentizität: Nachricht stammt vom Kommunikationspartner und wurde nicht manipuliert Verschlüsselung allein garantiert die Authentizität nicht!

4 Angrismodell 1. Ein Orakel berechnet y = MAC K (x) 2. Der Angreifer stellt q Anfragen x 1, x 2,..., x q an das Orakel und bekommt so gültige Paare (x 1, y 1 ), (x 2, y 2 ),..., (x q, y q ) 3. Ziel des Angreifers: neues Paar (x, y) erzeugen (x / {x 1,..., x q }) Wenn (x, y) ein gültiges Paar ist, so ist es eine Fälschung Wenn (x, y) mit Wahrscheinlichkeit ɛ gültig ist, so ist es eine (ɛ, q)-fälschung

5 CBC MAC CBC-MAC K (x) = y n, mit y i = e K (y i 1 x i ) (1 i n) Grundbaustein: symmetrische Blockverschlüsselung üblicherweise DES, AES Vorteil: verbreitete Verschlüsselungsfunktionen gut analysiert Nachteil: normalerweise sehr langsam Vorsicht bei der Konstruktion: e K (x 1 ) e K (x 2 ) e K (x n ) ergibt keine gute MAC-Funktion

6 Einfache Erweiterungen von Hashfunktionen Sei h(x) eine iterierte Hash-Funktion. Secret IV: MAC K (x) = h(x), mit dem Initialwert K Secret Prex: MAC K (x) = h(k x) Secret Sux: MAC K (x) = h(x K) Envelope: MAC K (x) = h(k x K)

7 Nested MAC (NMAC) Grundidee: Verknüpfung zweier Hash-Funktionen (mit Schlüsseln) NMAC (K1,K2)(x) = h K1 (g K2 (x)) g K2 muss kollisionsresistent sein h K1 ist der little MAC und muss eine sichere MAC-Funktion sein die Verkettung ist der big MAC

8 Hash MAC (HMAC) wie nach RFC 2104 HMAC K (x) = H(K opad H(K ipad x)) Spezialfall von NMAC mit h K (x) = g K (x) = H(K x) K 1 = K opad K 2 = K ipad (opad = 0x , ipad = 0x5c5c... 5c) Vorteil: Hash-Funktion H wird als 'black box' benutzt und ist beliebig auswechselbar

9 Sicherheit von NMACs little MAC-Angri: Angreifer erzeugt (y, h K1 (y )) Angenommen hierfür gibt es keinen (ɛ 1, q)-angri. Kollisionsangri: Angreifer erzeugt x x und g K2 (x ) = g K2 (x ) Angenommen hierfür gibt es keinen (ɛ 2, q + 1)-Angri. big MAC-Angri: Angreifer erzeugt (x, h K1 (g K2 (x ))) Falls die Annahmen stimmen und es für den big MAC einen (ɛ, q)-angri gibt, so ist (beweisbar) ɛ < ɛ 1 + ɛ 2 Das heiÿt: Eine Schwachstelle der Funktionen g, h ist Vorbedingung für jeden Angri auf NMAC

10 Allgemeine Angrie auf MACs bester bekannter Angri: Kollisions-/Geburtstagsangri Wenn MAC K die Länge von n bits hat, müssten im Mittel 2 n/2 MACs berechnet werden für einen (1/2, O(2 n/2 ))-Angri In der Praxis unmöglich, weil die Berechnung der MAC-Werte vom Opfer erfolgen muss. zum Vergleich: 1 MAC/sec = 2 25 MACs/Jahr Über 1 GBit/sec-Leitung können 2 46 MACs angefordert werden.

11 Geht es noch sicherer?

12 Erste Verbesserung Jeden Schlüssel K nur einmal benutzen. nur noch (ɛ, 0) und (ɛ, 1)-Fälschungen möglich.

13 Bedingungslos sichere MACs Eigenschaften eines bedingungslos sicheren MACs: Wahrscheinlichkeiten ɛ 0 und ɛ 1 der möglichen (ɛ 0, 0) und (ɛ 1, 1)-Angrie sind möglichst klein Sicherheit ist unabhängig von den Ressourcen des Angreifers

14 Die Funktion payo Sei payo(x, y) die Wahrscheinlichkeit, dass (x, y) ein gültiges Paar ist: payo(x, y) = Pr[y = h K (x)] = {K K : h K(x) = y} K Sei payo(x, y; x, y ) die bedingte Wahrscheinlichkeit dafür, dass (x, y ) ein gültiges Paar ist, wenn (x, y) gültig ist: payo(x, y; x, y ) = Pr[y = h K (x ) y = h K (x)] = Pr[y = h K (x ) y = h K (x)] Pr[y = h K (x)] = {K K : h K (x ) = y, h K (x) = y} {K K : h K (x) = y}

15 Deception Probability Pd q heiÿt deception probability bzw. Betrugswahrscheinlichkeit von q Pd q ist der gröÿte Wert ɛ, so dass ein (ɛ, q)-fälscher existiert Maximum über alle möglichen Schlüssel K Pd 0 = max{payo(x, y)} Pd 1 = max{payo(x, y; x, y )}( x x, y, y ) Raten ist immer möglich, deshalb: Bei M möglichen MAC-Werten: Pd q 1/M (für alle q)

16 Universelle Hash-Familien Eine Hash-Familie, die N Nachrichten auf M Hash-Werte abbildet, heiÿt (N, M)-Hash-Familie Universellen Hash-Familien müssen bestimmte Anforderungen an Kollisionswahrscheinlichkeit, Schlüsselund Wertebereich erfüllen Eine (N, M)-Hash-Familie heiÿt stark-universell, wenn x, x, y, y, x x gilt: {K K : h K (x) = y, h K (x ) = y } = K M 2

17 Zwei stark-universelle Hash-Familien 1. Für eine Primzahl p und a, b Z p sei f (a,b)(x) := ax + b mod p f (a,b) : Z p Z p ist dann eine stark-universelle (p, p)-hash-familie. 2. Seien j N, p eine Primzahl, X = {0, 1} j \ {(0,..., 0)}, r (Z p ) j j f r ( x) := r x mod p = r i x i i=1 Dann ist f r : X Z p eine stark-universelle (2 j 1, p)-hash-familie.

18 Berechnung von Pd0 {K K : h K (x) = y} = y {K K : h K (x) = y, h K (x ) = y } = K M = K 2 M y payo(x, y) = {K K : h K(x) = y} K = K /M K Pd 0 = 1/M = 1/M

19 Berechnung von Pd1 payo(x, y ; x, y) = {K K : h K(x) = y, h K (x ) = y } {K K : h K (x) = y} Pd 1 = 1/M = K /M 2 K /M = 1/M Also ist Pd 0 = Pd 1 = 1/M. Die Möglichkeit eines Angris ist minimal.

20 Fazit 1. Auf einem völlig oenen Kanal (Angreifer hat Lese- und Schreibzugri) lässt sich eine authentizierte Verbindung aufbauen. 2. Wenn jede Nachricht mit zufälligem Schlüssel authentiziert wird, ist die Authentizierung bedingungslos sicher, d.h. mit unbegrenzten Ressourcen nicht zu fälschen. In der Realität hängt alles von der Schlüsselquelle ab.

21 Quellen Douglas Stinson, Cryptography Theory and Practice, pp Chapman & Hall/CRC, Boca Raton, Florida, 2nd ed., 2002 Mihir Bellare, Ran Canetti, Hugo Krawczyk, Keying Hash Functions for Message Authentication, 1996, Sha Goldwasser, Mihir Bellare, Lecture Notes on Cryptography, Chapter 8, 2001, Cambridge, Massachusetts, Bart Preneell, Paul van Oorschot, MDx-MAC and Building Fast MACs from Hash Functions, in: Advances in Cryptology CRYPTO '95, LNCS 963, pp. 1-14, Springer-Verlag, Berlin, 1995