Sicherheitsanalyse für Langzeitsicherheit von Public-Key Verfahren

Transkript

1 Sicherheitsanalyse für Langzeitsicherheit von Public-Key Verfahren Diplomarbeit von Sebastian Schwierz Betreuer: Prof. Dr. Tsuyoshi Takagi und Dipl.-Math. Christina Hölzer Technische Universität Darmstadt Juni 2004

2 Hiermit möchte ich mich bei meinen Betreuern Prof. Dr. Tsuyoshi Takagi und Christina Hölzer für die sehr gute Betreuung in den vergangenen Monaten sowie für das interessante Thema bedanken. Weiterhin möchte ich meiner lieben Frau Wiebke Schwierz, ohne die das hier allen nicht möglich gewesen wäre, einen Dank für die tolle Unterstützung aussprechen. Darüberhinaus bedanke ich mich bei meinen Freunden und Kommilitonen Marcus Stögbauer, Martin Frank und Carsten Krieger für ihre Hilfe.

3 Inhaltsverzeichnis 1 Grundlagen Mathematische Grundlagen Algebraische Strukturen Komplexität von Algorithmen Probleme Kryptographische Grundlagen Verschlüsselungsverfahren Kryptoanalyse Einwegfunktionen Permutationen Identifikationsverfahren Digitale Signaturen Sicherheitsdefinitionen Standardverfahren und ihre Sicherheit Okamoto-Schnorr Signaturverfahren Binary-Tree-Encryption (BTE) Chosen-Ciphertext Sicherheit Langzeitsicherheit für PK-Systeme 43 3

4 4 INHALTSVERZEICHNIS 3.1 Proactive Security Idee Modell Shamir s Secret-Sharing-Protokoll Proactive Secure Signature Neuere Methoden Forward Security Idee Modell Sicherheitsdefinitionen Angreifermodell Key-Insulated Security Idee Modell Sicherheitsdefinitionen Angreifermodell Key-Insulation Strong Key-Insulation Erstellen von key-insulated Signaturverfahren Ein (t, N)-Key-Insulated Signaturverfahren Key-evolving ID-Verfahren Intrusion-Resilient Security Idee Modell Definitionen

5 INHALTSVERZEICHNIS Angreifermodell Sicherheitsdefinitionen Ein intrusion-resilient Verfahren Vorüberlegungen zum Verfahren CCA2-Transformationen Vergleich Ausblick

6 6 INHALTSVERZEICHNIS

7 Einleitung Die Sicherheit heutiger Kryptosysteme beruht auf der Schwierigkeit, bestimmte mathematische Probleme zu lösen, sowie der Geheimhaltung der privaten Schlüssel. Immer wieder werden Kryptosysteme Ziele von Angriffen die versuchen, die geheimen Schlüssel zu brechen. Ist der geheime Schlüssel eines Kryptosystem erst einmal gebrochen, hat der Angreifer alle Freiheiten, beliebige Schlüsseltexte zu entschlüsseln bzw. Signaturen zu erstellen. Die Frage, die sich also stellt, ist: Lassen sich Schlüsselbrüche vollständig vermeiden? Dem heutigen Wissensstand nach lautet die Antwort Nein. Was kann also getan werden, um den Schutz der Kryptosysteme zu steigern? Es wurden Methoden entwickelt, um Kryptosysteme auf lange Sicht sicher zu machen. Diese Methoden können einen Schlüsselbruch nicht verhindern, sondern lediglich erschweren. Das Hauptziel dieser Methoden ist jedoch, den Schaden, der durch einen Schlüsselbruch entsteht, zu minimieren. Diese Arbeit soll dem Leser die Ergebnisse von [14,5,7] näher bringen. Die dort vorgestellten Verfahren mit den zugehörigen Sicherheitsbeweisen wurden recht knapp gehalten und sind dadurch stellenweise schwierig zu verstehen. Darüberhinaus lassen die Sicherheitsbeweise einige Fragen aufkommen, die diese Arbeit zu beantworten versucht. Unser Ziel war es, in einfacher Art und Weise die Arbeiten von [14,5,7] zu schildern, so dass keine großen Vorkenntnisse aus der Kryptographie oder Mathematik notwendig sind, um den Inhalt zu verstehen. Im Kapitel I führen wir die mathematischen und kryptographischen Grundlagen auf, die für das Verständnis der folgenden Kapitel notwendig sind. Das zweite Kapitel beinhaltet zwei Standardverfahren, die durch entsprechende Modifikationen Langzeitsicherheit gewähren. Kapitel 3 stellt eine der am Anfang erwähnten Methoden vor, die sich bereits längere Zeit bewährt hat. 7

8 8 INHALTSVERZEICHNIS Zum Schluß beschreiben die Kapitel 4 bis 6 drei neuere Methoden für die Umsetzung von Langzeitsicherheit. Wir werden Beispielverfahren sowie die zugehörigen Sicherheitsaspekte betrachten.

9 Kapitel 1 Grundlagen In diesem Kapitel behandeln wir Grundlagen, die für das weitere Verständnis notwendig sind. Wir beginnen mit mathematischen Grundlagen und gehen dann zu kryptographischen Grundlagen über. 1.1 Mathematische Grundlagen Dieser Abschnitt beinhaltet die mathematischen Grundlagen, die eine Basis für die meisten Kryptosysteme bilden. Die Mathematik oder speziell die Zahlentheorie ist ein fundamentales Element der Kryptographie Algebraische Strukturen Wir beschreiben einige wichtige algebraische Strukturen. Ein Großteil der Berechnungen in kryptographischen Verfahren wird in algebraischen Strukturen durchgeführt (genauer nachzulesen in [2]). Später werden wir nur innerhalb von Gruppen rechnen. Damit man sich etwas unter Gruppen vorstellen kann, beschreiben wir hier die algebraischen Strukturen etwas ausführlicher. Definition 1.1 Sei X eine nichtleere Menge. a) Eine (innere) Verknüpfung oder Operation auf X ist eine Abbildung : X X X, (x 1, x 2 ) (x 1 x 2 ) 9

10 10 KAPITEL 1. GRUNDLAGEN b) Eine algebraische Struktur besteht aus einer nichtleeren Menge X und einer oder mehreren (inneren) Verknüpfungen auf X. Wir schreiben: (X, ) für eine algebraische Struktur mit einer Verknüpfung (z.b. Gruppe) (X,, ) für eine algebraische Struktur mit zwei Verknüpfungen (z.b. Ring) Definition 1.2 Sei eine Operation auf der Menge X. Dann heißt : a) kommutativ, wenn x y = y x gilt x, y X. b) assoziativ, wenn x (y z) = (x y) z gilt x, y, z X. Definition 1.3 Gegeben sei ein Element e X. e heißt neutrales Element von X bezüglich, wenn gilt: e x = x e = x, x X Definition 1.4 Gegeben sei eine Menge H und eine innere Verknüpfung. Die algebraische Struktur (H, ) heißt: Halbgruppe, falls assoziativ ist. Die Halbgruppe heißt kommutativ oder abelsch, falls kommutativ ist. Monoid, falls sie eine Halbgruppe ist und ein neutrales Element bezüglich enthält. Definition 1.5 Gegeben sei ein Monoid (M, ) mit dem neutralen Element e. Sei x M, so heißt y M inverses Element von x in M, falls x y = y x = e gilt. Besitzt ein Element x ein Inverses, so heißt es invertierbar in dem Monoid. Definition 1.6 Gegeben sei ein Monoid (G, ). Ist jedes Element des Monoids invertierbar, so heißt (G, ) Gruppe. Die Gruppe heißt kommutativ oder abelsch, falls kommutativ ist.

11 1.1. MATHEMATISCHE GRUNDLAGEN 11 Definition 1.7 Eine Teilmenge U von G heißt Untergruppe von G, wenn U mit der Verknüpfung von G selbst eine Gruppe ist. Wir können für jedes g G durch die Menge {g k : k Z} eine Untergruppe von G angeben. Sie heißt dann die von g erzeugte Untergruppe. Eine solche Untergruppe bezeichnen wir mit g. Definition 1.8 Wenn G = g für ein g G, so heißt G zyklisch und g heißt Erzeuger oder Primitivwurzel von G. G nennen wir dann, die von g erzeugte Gruppe. Das neutrale Element ist in Monoiden und Gruppen eindeutig bestimmt. Die Ordnung einer algebraischen Struktur enspricht der Anzahl ihrer Elemente. Die Ordnung eines Elements h innerhalb einer algebraischen Struktur G ist gegeben durch: min{k : g k = g mit g G}. Definition 1.9 Ein Ring (R,, ) ist eine algebraische Struktur mit zwei Operationen. Dabei ist (R, ) eine abelsche Gruppe und (R, ) ein Monoid. Im Ring gelten die Distributivgesetze: x (y z) = (x y) (x z) (x y) z = (x z) (y z) x, y, z R. Der Ring heißt kommutativ, wenn die Halbgruppe (R, ) kommutativ ist. Das Einselement des Ringes entspricht dem neutralen Element der Halbgruppe (R, ). Definition 1.10 Ein Körper ist ein kommutativer Ring mit Einselement, bei dem alle von Null verschiedenen Elemente invertierbar sind. Restklassengruppe Eine spezielle Struktur, die die Grundlage für Berechnungen in vielen kryptographischen Verfahren darstellt, ist die Restklassengruppe modulo m. Zum besseren Verständnis ein kleines Beispiel.

12 12 KAPITEL 1. GRUNDLAGEN Beispiel Wir wählen m = 5. Dann sind die Restklassen von Z modulo 5: { 15, 10, 5, 0, 5, 10, 15,... } = 0 + 5Z { 14, 9, 4, 1, 6, 11, 16,... } = 1 + 5Z { 13, 8, 3, 2, 7, 12, 17,... } = 2 + 5Z { 12, 7, 2, 3, 8, 13, 18,... } = 3 + 5Z { 11, 6, 1, 4, 9, 14, 19,... } = 4 + 5Z Z, 1 + 5Z, 2 + 5Z, 3 + 5Z, 4 + 5Z ergeben die Restklassengruppe modulo 5. Wir bezeichnen diese Gruppe mit Z Komplexität von Algorithmen Die Komplexitätstheorie befasst sich mit der Berechenbarkeit und dem Ressourcenverbrauch bei der Berechnung von Problemen. Zur Berechnung dieser Probleme werden Algorithmen eingesetzt die man nach Rechenzeit und Speicherverbrauch klassifiziert. Dabei betrachtet man den Algorithmus als eine Funktion mit einer Eingabe der Länge n. Zur Klassifizierung der Algorithmen bedient man sich der O-Notation. Ist zum Beispiel die Komplexität eines Algorithmus durch n 4 + 2n 3 + 3n 2 gegeben, dann lässt sich der Term mittels der O-Notation durch O(n 4 ) ausdrücken. Die Komplexität bzw. Aufwand eines Algorithmus wir also in Abhängigkeit von der Länge der Eingabe angegeben. Dabei wird immer nur der Term berücksichtigt, der bei wachsendem n am schnellsten wächst (wie in unserem Beispiel n 4 ). Verwenden wir die Laufzeit eines Algorithmus als Kriterium, so können wir folgende Komplexitätsklassen angeben: Sei c eine Konstante; O(c): Die Laufzeit unseres Algorithmus ist konstant, d.h. unabhängig von der Eingabelänge. O(n): Die Laufzeit unseres Algorithmus ist linear. O(n c ): Ist c > 1, dann ist die Laufzeit unseres Algorithmus polynomiell. O(c n ): Ist c > 1, dann ist die Laufzeit unseres Algorithmus exponentiell. (Algorithmen mit exponentieller Laufzeit werden als sehr ineffizient betrachtet). Wir unterscheiden in unserer Arbeit probabilistische und deterministische

13 1.1. MATHEMATISCHE GRUNDLAGEN 13 Algorithmen. Probabilistische Algorithmen verwenden bei der Berechnung Zufallszahlen und haben somit als Ausgabe zufällige Ergebnisse. Deterministische Algorithmen hingegen haben als Ausgabe ein voraussehbares Ergebnis, d.h. bei gleicher Eingabe erhalten wir die gleiche Ausgabe Probleme Die Sicherheit der meisten zur Zeit eingesetzten Kryptosysteme beruht auf der Schwierigkeit, gewisse mathematische Probleme zu lösen. Die Schwierigkeit besteht darin das Problem in angemessener (polynomieller) Zeit zu lösen. Ist nun ein Problem in polynomieller Zeit nicht lösbar, so bezeichnen wir es als schwierig. Ein Kryptosystem ist dann so aufgebaut, dass ein Angreifer der, einen geheimen Schlüssel berechnen möchte, in der Lage sein muss, eines dieser Probleme zu lösen. Wir werden im weiteren für den Sicherheitsparameter k schreiben. Der Sicherheitsparameter ist eine Zahl, die in die Parameterberechnung einfließt. Je höher der Sicherheitsparameter, desto schwieriger ist es, das zugehörige mathematische Problem zu berechnen. Bilineares Diffie-Hellman Problem Bei dem Bilinearen Diffie-Hellman (BDH) Problem handelt es sich um ein schwieriges mathematisches Problem, dessen Berechnung einen enormen Rechenaufwand erfordert. Wir unterscheiden hier zwischen zwei Bilinearen Diffie-Hellman Problemen, dem BDH Berechnungsproblem und dem BDH Entscheidungsproblem (es existieren weitaus mehr BDH Probleme, als diese beiden). Um das Problem besser beschreiben zu können, werden wir an dieser Stelle noch auf die nötigen Parameter eingehen. Dazu folgende Definition: Definition 1.11 Seien G 1 und G 2 zwei zyklische Gruppen primer Ordnung q. Sei (G 1, +) eine additive Gruppe und (G 2, ) eine multiplikative Gruppe. Sei ê eine Funktion mit ê : G 1 G 1 G 2. Wir sagen ê ist eine bilineare Funktion, wenn für alle P, Q G 1 und alle α, β Z q gilt: ê(αp, βq) = ê(βp, αq) = ê(p, Q) αβ wobei αp = (P } + P + {{ + P } ) G 1. α mal

14 14 KAPITEL 1. GRUNDLAGEN Wir nehmen im weiteren an, dass ein effizienter Algorithmus existiert, der ê(p, Q) für alle P, Q G 1 berechnen kann. Sei IG ein probabilistischer Polynomialzeitalgorithmus (PPT Algorithmus). Dabei handelt es sich um einen probabilistischen Algorithmus mit polynomieller Laufzeit. IG gebe bei Eingabe eines Sicherheitsparameters k das Tupel (ê, G 1, G 2 ) aus. Haben (ê, G 1, G 2 ) die in Definition 1.9 beschriebenen Eigenschaften, so sagen wir IG ist ein BDH Parametergenerator. Wir geben nun die Definitionen für die beiden Varianten des BDH Problems im Hinblick auf einen BDH Parametergenerator IG an. Definition 1.12 Sei IG ein BDH Parametergenerator mit der Ausgabe (ê, G 1, G 2 ). Seien P, αp, βp, γp R G 1 zufällig (x R G bedeutet, dass x zufällig aus G gewählt wird). Wir sagen IG unterliegt dem BDH Berechnungsproblem, wenn die folgende Wahrscheinlichkeit für jeden PPT Algorithmus A vernachlässigbar klein in k ist: [ ] (ê, G1, G P r 2 ) := IG; P R G 1 ; α, β, γ R Z q A(ê, G 1, G 2, P, αp, βp, γp ) = ê(p, P ) αβγ Mit anderen Worten, bei dem BDH Berechnungsproblem geht es darum zu gegebenen (ê, G 1, G 2, P, αp, βp, γp ) den Wert ê(p, P ) αβγ zu berechnen. Definition 1.13 Sei IG ein BDH Parametergenerator mit der Ausgabe (ê, G 1, G 2 ). Seien P, αp, βp, γp, µp R G 1 zufällig. Wir sagen IG unterliegt dem BDH Entscheidungsproblem, wenn die folgende Wahrscheinlichkeit für jeden PPT Algorithmus A vernachlässigbar klein in k ist: [ ] (ê, P r G1, G 2 ) := IG; P R G 1 ; α, β, γ R Z q A(ê, G 1, G 2, P, αp, βp, γp, αβγp ) = 1 [ ] (ê, G1, G P r 2 ) := IG; P R G 1 ; α, β, γ, µ R Z q A(ê, G 1, G 2, P, αp, βp, γp, µp ) = 1 (Die Ausgabe von Algorithmus A bedeutet, dass bei der Eingabe von (ê, G 1, G 2, P, αp, βp, γp, µp ) Algorithmus A eine 1 ausgibt, falls er glaubt αβγ = µ. Ansonsten lautet die Ausgabe 0.) Mit anderen Worten, das BDH Entscheidungsproblem besteht daraus, bei gegebenen Tupeln (ê, G 1, G 2, P, αp, βp, γp, αβγp ) und (ê, G 1, G 2, P, αp, βp, γp, µp ) zu entscheiden, ob αβγ = µ.

15 1.2. KRYPTOGRAPHISCHE GRUNDLAGEN 15 Diskrete Logarithmus Problem Das bestimmen des diskreten Logarithmus ist ein weiteres schwieriges Problem, das sich in der Kryptographie bewährt hat. Es dient als Grundlage für die Sicherheit einer ganzen Reihe von Kryptosystemen. Definition 1.14 Sei G eine endliche zyklische Gruppe der Ordnung p. Sei h ein Erzeuger von G und g G. Der diskrete Logarithmus von g zu Basis h ist gegeben durch ein eindeutiges x Z p, so dass g = h x mod p gilt. Definition 1.15 Gegeben sei eine Primzahl p, ein Erzeuger h Z p und ein Element g Z p. Das Diskrete Logarithmus Problem besteht darin eine Zahl x mit 0 x p 2 zu finden, so dass g h x mod p gilt. 1.2 Kryptographische Grundlagen Verschlüsselungsverfahren Die Kryptographie gibt uns die Möglichkeit, wichtige Daten oder Kommunikation geheimzuhalten. Dazu benötigt man Verschlüsselungsverfahren. Hier eine allgemeine Version einer Definition für ein Verschlüsselungsverfahren. Die folgenden Definitionen und Erklärungen, können auch [2] entnommen werden. Definition 1.16 Ein Verschlüsselungsverfahren oder Kryptosystem ist ein Fünftupel (P,C,K,Enc,Dec) mit folgenden Eigenschaften: a) P ist eine Menge. Sie heißt Klartextraum. Ihre Elemente heißen Klartexte (Plaintext). (Wir werden hier die Klartexte Nachrichten nennen) b) C ist eine Menge. Sie heißt Chiffretextraum. Ihre Elemente heißen Schlüsseltexte (Ciphertext).

16 16 KAPITEL 1. GRUNDLAGEN c) K ist eine Menge. Sie heißt Schlüsselraum. Ihre Elemente heißen Schlüssel (Key). d) Enc= {Enc pk pk K} ist eine Familie von Funktionen Enc pk : P C. Ihre Elemente heißen Verschlüsselungsfunktionen. e) Dec= {Dec sk sk K} ist eine Familie von Funktionen Dec sk : C P. Ihre Elemente heißen Entschlüsselungsfunktionen. f) Für jeden pk K gibt es ein sk K, so dass für alle m P die Gleichung Dec sk (Enc pk (m)) = m gilt. Bemerkung 1.17 Die Größe des Schlüsselraums K hängt von der Größe des Sicherheitsparameters k ab. Je größer k, desto größer ist der Schlüsselraum. Wir unterscheiden in der Kryptographie zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren. Wenn zwei Kommunikationspartner A und B über eine unsichere Leitung kommunizieren (z.b. ), möchten sie zur Absicherung ein Verschlüsselungsverfahren benutzen. Nehmen wir an, A möchte eine Nachricht an B schicken. Dann braucht A einen Schlüssel pk, um seine Nachrichten an B zu verschlüsseln. B wiederum benötigt den zugehörigen Schlüssel sk, um die verschlüsselte Nachricht von A lesen zu können. Liegt ein Verschlüsselungsverfahren vor bei dem pk = sk gilt oder man leicht sk aus pk berechnen kann, so handelt es sich dabei um ein symmetrisches Verschlüsselungsverfahren. Wird ein solches Verfahren verwendet, so muß ein Schlüsselaustausch vollzogen werden. Entweder geschieht dies über eine sichere Leitung oder mit Hilfe eines Schlüsselaustauschverfahrens (z.b. das Schlüsselaustauschprotokoll von Diffie und Hellman). Der Unterschied bei einem asymmetrischem Verschlüsselungsverfahren ist, dass pk sk und man sk nicht ohne großen Aufwand aus pk berechnen kann. Hierbei muss kein Schlüsselaustausch erfolgen. Möchte B verschlüsselte Nachrichten empfangen, so erzeugt er ein Schlüsselpaar (pk, sk), veröffentlicht pk und hält sk geheim. Wer nun B eine geheime Nachricht senden will, verwendet zum Verschlüsseln den öffentlichen Schlüssel pk (public key). Anschließend kann B die Nachricht mit seinem geheimen Schlüssel

17 1.2. KRYPTOGRAPHISCHE GRUNDLAGEN 17 sk (secret key) entschlüsseln. Solche Kryptosysteme nennt man Public-Key Verfahren (PKE Verfahren). Im weiteren werden wir hier nur PKE Verfahren betrachten. Eine gebräuchliche Definition für asymmetrische Verschlüsselungsverfahren lautet: Definition 1.18 Unter einem asymmetrischen Verschlüsselungsverfahren verstehen wir das Dreitupel Π =(KG,Enc,Dec) von Algorithmen mit KG, der Schlüsselgenerator, ist ein probabilistischer Polynomialzeitalgorithmus, der als Eingabe den Sicherheitsparameter k N erhält, und als Ausgabe den geheimen sowie den zugehörigen öffentlichen Schlüssel (sk, pk) liefert. Enc, der Verschlüsselungsalgorithmus, ist ein probabilistischer Polynomialzeitalgorithmus, der als Eingabe den öffentlichen Schlüssel pk und einen Klartext m {0, 1} (ein Bitstring beliebiger Länge) erhält, und als Ausgabe einen Schlüsseltext c =Enc(pk, m) liefert. Dec, der Entschlüsselungsalgorithmus, ist ein deterministischer Polynomialzeitalgorithmus, der als Eingabe den geheimen Schlüssel sk sowie einen Schlüsseltext c hat,und als Ausgabe den zugehörigen Klartext m =Dec(sk, c) {0, 1} liefert oder aber ein Symbol dafür, dass c ein ungültiger Schlüsseltext ist. Sei pk ein öffentlicher Schlüssel und sk der dazugehörige geheime Schlüssel. Dann gilt für jede beliebige Nachricht m {0, 1} Dec(sk,Enc(pk, m))= m Kryptoanalyse Die Kryptoanalyse befasst sich damit,verschlüsselte Nachrichten ohne den Zugriff auf den geheimen Schlüssel zu entschlüsseln. Sie ist die Lehre von den Angriffen auf ein Kryptosystem. Ein unbefugter Benutzer, wir wollen ihn Angreifer nennen, kann viele Ziele verfolgen: Einerseits möchte er den Inhalt einer verschlüsselten Nachricht lesen oder aber ihren Inhalt verändern. Der Idealfall aus der Sicht des Angreifers wäre es, den geheimen Schlüssel zu bekommen. Wir werden hier einen Überblick über eine Anzahl möglicher Angriffe geben. Später werden wir Sicherheitsdefinitionen angeben, die Sicherheit gegen

18 18 KAPITEL 1. GRUNDLAGEN die folgenden Angriffe charakterisieren. Die heutige Kryptographie geht davon aus, dass das zugrundeliegende Verschlüsselungsverfahren öffentlich bekannt ist. Es würde sicherlich zur Steigerung der Sicherheit beitragen, wenn es geheimgehalten werden würde, jedoch kann nicht garantiert werden, ob es auch geheim bliebe. Aus der Berechnungsweise und der Art und Anzahl der Parameter könnte man leicht auf das verwendete Verfahren schließen. Deswegen ist Sicherheit, die (zum Teil) von der Geheimhaltung des Verfahrens abhängt, nicht erstrebenswert. Die Sicherheit eines Verschlüsselungsverfahrens sollte daher nur von dem geheimen Schlüssel abhängen bzw. von dem zugehörigen mathematischen Problem. Nun folgt eine Auswahl üblicher Angriffstypen. Wir gehen bei all diesen Szenarien davon aus, dass der Angreifer den vollen Zugriff auf die gesamte Kommunikation zwischen den Kommunikationspartnern besitzt. Ciphertext-Only-Attacke: Der Angreifer kennt einige Schlüsseltexte zu einigen Nachrichten. Er versucht die zugehörigen Klartexte oder den geheimen Schlüssel zu finden. Es handelt sich hierbei um den niedrigsten Sicherheitsstandard. Kryptosysteme die gegen diesen Angriff nicht sicher sind, werden als sehr unsicher angesehen. Known-Plaintext-Attacke: Dem Angreifer sind Chiffretexte mit zugehörigen Klartexten bekannt. Aus diesen Informationen versucht er, den geheimen Schlüssel zu finden oder andere (unbekannte) Chiffretexte zu entschlüsseln. Chosen-Plaintext-Attacke (CPA): Der Angreifer hat nicht nur Chiffretexte mit zugehörigen Klartexten gegeben, sondern kann sich gezielt Chiffretexte seiner Wahl erzeugen lassen. Diese Angriffsart ist wesentlich gefährlicher als die Known-Plaintext-Attacke, da der Angreifer sich Klartexte mit spezifischen Eigenschaften verschlüsseln lassen kann. Dadurch kann er zusätzliche Informationen über den Schlüssel erlangen. Das Ziel hier ist, den geheimen Schlüssel zu finden oder andere verschlüsselte Texte entschlüsseln zu können. Chosen-Ciphertext-Attacke (CCA1): Der Angreifer kann sich eine Reihe selbstgewählter Chiffretexte entschlüsseln lassen. Den gehei-

19 1.2. KRYPTOGRAPHISCHE GRUNDLAGEN 19 men Schlüssel kennt er dabei nicht. Das Ziel des Angreifers ist es, den geheimen Schlüssel zu erhalten. Adaptive-Chosen-Ciphertext-Attacke (CCA2): Der Angreifer kann sich selbstgewählte Chiffretexte entschlüsseln lassen, kennt den geheimen Schlüssel aber nicht. Der Angreifer kann sich anschließend Chiffretexte in Abhängigkeit zu den zuvor entschlüsselten, entschlüsseln lassen. So kann der Angreifer z.b. versuchen, bereits entschlüsselte Chiffretexte leicht abzuändern und sich diese wieder entschlüsseln zu lassen. Dadurch hofft er, mehr Informationen über das Verfahren zu erhalten. Die einfachste Methode, eine Ciphertext-Only-Attacke auszuführen, ist ein brute-force Angriff. Dabei versucht man, einen gegebenen Chiffretext mit allen Schlüsseln des Schlüsselraums zu entschlüsseln. Theoretisch wäre dieser Angriff bei jedem heutzutage bekanntem Kryptosystem erfolgreich, nur ist der Rechen- bzw. Zeitaufwand, abhängig von der Größe des Schlüsselraums, enorm. Man kann also Kryptoverfahren gegen brute-force Angriffe schützen, indem man den Schlüsselraum groß genug wählt Einwegfunktionen Einwegfunktionen nehmen eine zentrale Rolle in der Kryptographie ein. Sie bilden einen wichtigen Baustein für viele kryptographische Protokolle. Bei Einwegfunktionen handelt es sich um Funktionen, deren Funktionswerte, vorausgesetzt man besitzt das entsprechende Argument, leicht zu berechnen sind. Besitzt man jedoch nur den Funktionswert, ist es nahezu unmöglich das zugehörige Argument zu bestimmen. D.h. sei x das Argument und f(x) der zugehörige Funktionswert, dann gilt x f(x) leicht zu berechnen f(x) x schwer zu berechnen. Streng gesehen konnte bisher nicht bewiesen werden, dass Einwegfunktionen existieren. Man kennt jedoch eine Reihe von Funktionen, die Eigenschaften von Einwegfunktionen besitzen. Solange nicht das Gegenteil bewiesen wird, stützt man sich auf diese Vermutungen und verwendet diese Funktionen als Einwegfunktionen.

20 20 KAPITEL 1. GRUNDLAGEN Einweg-Trapdoor-Funktionen Bei den Einweg-Trapdoor-Funktionen handelt es sich um eine besondere Art von Einwegfunktionen. Sie besitzen die gleichen Eigenschaften wie eine Einwegfunktion, d.h. die Funktionswertberechnung ist leicht, die Berechnung der Umkehrfunktion jedoch schwer. Der Unterschied zu den gewöhnlichen Einwegfunktionen besteht jedoch darin, dass zu jeder Trapdoor-Funktion ein bestimmter Wert td (trapdoor genannt) existiert, mit dessen Hilfe die Berechnung der Umkehrfunktion leicht ist. D.h.: x f(x) leicht zu berechnen f(x) x schwer zu berechnen f td (x) x leicht zu berechnen Einweg-Hashfunktionen Ein weiterer wichtiger Baustein in der Kryptographie sind Einweg-Hashfunktionen. Bei einer Hashfunktion handelt es sich um eine Abbildung, die Strings beliebiger Länge auf Strings fester Länge abbildet. Meistens handelt es sich dabei um eine Kompressionsfunktion, d.h. längere Strings werden auf kürzere abgebildet. Formal können wir eine Hashfunktion also folgendermaßen angeben: h : {0, 1} {0, 1} n, n N Eine Hashfunktion ist immer nicht injektiv, also nicht eindeutig umkehrbar. D.h. mehrere Argumente können den selben Funktionswert (Hashwert) haben. Es ist leicht, aus zu einem Argument x einen Hashwert h(x) zu bestimmen, jedoch schwer, zu einem gegebenem Hashwert h(x) ein zugehöriges Argument zu finden. Eine sehr wichtige Eigenschaft von Hashfunktionen ist die Kollisionsresistenz. Unter Kollisionsresistenz versteht man die Schwierigkeit eine Kollision zu finden. Unter einer Kollision von Hashfunktion h verstehen wir ein Paar (x, y) Dh 2 (D h Definitionsbereich von h) von Strings für die gilt x y und h(x) = h(y). Jede Hashfunktion besitzt Kollisionen, da jede nicht injektiv ist. Wir unterscheiden zwei Arten von Kollisionsresistenzen, die schwache Kollisionsresistenz und die starke Kollisionsresistenz.

21 1.2. KRYPTOGRAPHISCHE GRUNDLAGEN 21 Eine Funktion h ist schwach kollisionsresistent, wenn es zu einem gegebenen x D nahezu unmöglich ist, eine Kollision (x, y) zu finden. Die Funktion h heisst stark kollisionsresistent, falls es zu jedem beliebigen x D nahezu unmöglich ist, eine Kollision (x, y) zu finden. Hashfunktionen mit großer Kollisionsresistenz werden auch kollisionsfrei genannt Permutationen Wir wollen hier davon ausgehen, dass die Definition einer Permutation bekannt ist. In diesem Abschnitt werden wir einen speziellen Typ von Permutationen einführen, den wir später benötigen werden. Es handelt sich dabei um die sogenannte trapdoor Permutation, siehe auch [4]. Definition 1.19 Sei F=(Gen,Auswahl,Perm,Inv) ein Tupel von PPT Algorithmen. Sei k der Sicherheitsparameter. F wird trapdoor Permutationenfamilie genannt, wenn gilt: Gen(k) ist ein probabilistischer Algorithmus, der ein Paar (i, td) ausgibt. Man kann sich i als einen Index einer bestimmten Permutation f i über Definitionsbereich D i vorstellen; td steht für einen Wert trapdoor, der eine Umkehrung von f i erlaubt. Auswahl(k, i) ist ein probabilistischer Algorithmus, der ein Element x D i ausgibt (vorausgesetzt i wurde von Gen ausgegeben). Darüberhinaus ist x gleichmäßig in D i verteilt. Perm(k, i, x) ist ein deterministischer Algorithmus, der ein y D i ausgibt (vorausgesetzt i wurde von Gen ausgegeben und es gilt x D i ). Darüberhinaus gilt für alle i, die von Algorithmus Gen erzeugt wurden, Perm(k, i, ):D i D i ist eine Permutation (wir können also Perm(k, i, ) als die oben erwähnte Permutation f i betrachten). Inv(k, td, y) ist ein deterministischer Algorithmus, der ein Element x D i ausgibt, wobei (i, td) eine mögliche Ausgabe von Gen ist. Zum Zwecke der Korrektheit verlangen wir, dass für alle k, alle Paare (i, td)

22 22 KAPITEL 1. GRUNDLAGEN die von Gen generiert wurden und für alle x D i gilt: Inv(k, td, Perm (k, i, x)) = x Identifikationsverfahren In diesem Anschnitt wollen wir Verfahren vorstellen, mit denen sich ein Benutzer P (auch Prover genannt) einem anderen Benutzer V (auch Verifier genannt) gegenüber identifizieren kann. Seien P und V zwei PPT Algorithmen, dann bezeichnen wir mit a := (P (x), V (y))(z) die Ausgabe der Interaktion zwischen P und V. Dabei sei x die Eingabe für P, y die Eingabe für V und z eine Eingabe für P und V, d.h. (P (x), V (y))(z) = (P (x, z), V (y, z)). Definition 1.20 Ein Identifikationsverfahren ID =(G,P,V), ist ein Tupel von PPT Algorithmen mit folgenden Eigenschaften: G, der Schlüsselgenerator, der bei Eingabe des Sicherheitsparameters k ein Schlüsselpaar (pk, sk) liefert. P, der interaktive Algorithmus des Provers mit Eingabe (sk, pk). V, der interaktive Algorithmus des Verifiers mit pk als Eingabe. Es gilt P r [(P (sk), V )(pk) = 1] = 1. Handelt es sich bei der Interaktion zwischen P und V um eine Drei-Wege Kommunikation, so so nennen wir unser Identifikationsverfahren ein kanonisches Identifikationsverfahren Digitale Signaturen Neben der Verschlüsselung von Nachrichten bietet die Kryptographie die Möglichkeit, die Echtheit von Dokumenten oder Nachrichten zu überprüfen. Dazu verwendet man digitale Signaturen. Digitale Signaturen sind das elektronische Pendant zu handgeschriebenen Unterschriften.

23 1.2. KRYPTOGRAPHISCHE GRUNDLAGEN 23 Man hat die Idee der digitalen Signaturen mit Hilfe von Public-Key- Verfahren umsetzen können. Hier eine allgemeine Definition für digitale Signaturen. Definition 1.21 Unter einer digitalen Signatur versteht man das Tripel Ω =(G,S,V), so dass G, der Schlüsselgenerator, ist ein probabilistischer Polynomialzeitalgorithmus, der als Eingabe einen Sicherheitsparameter k N erhält und als Ausgabe den geheimen Schlüssel sk sowie den öffentlichen Schlüssel pk liefert. S, der Signieralgorithmus, ist ein deterministischer Polynomialzeitalgorithmus, der als Eingabe pk, sk, eine Nachricht m {0, 1} k sowie eine Zufallszahl r R {0, 1} k erhält und als Ausgabe eine Signatur s =S(pk, sk, m, r) liefert. V, der Verifikatioinsalgorithmus, ist ein probabilistischer Polynomialzeitalgorithmus, der als Eingabe pk und s erhält und die Gültigkeit der Signatur s überprüft. Wir erhalten V(pk, s) = 1 genau dann wenn s =S(pk, sk, m, r) gilt. Der Korrektheit halber verlangen wir, dass V(pk,S(pk, sk, m, r)) = 1 gilt. In Bezug auf den vorangegangenen Abschnitt, wollen wir hier eine Definition für einen speziellen Typ von Signaturen angeben, den wir später benötigen werden. Wir führen hier den Begriff der trapdoor Signatur ein. Definition 1.22 Gegeben sei eine Signatur Ω =(G,S,V). Wir sagen Ω ist ein trapdoor Signaturverfahren, falls folgende Bedingungen erfüllt sind: Generator G bestimmt eine Permutation (f, f 1 ) aus einer trapdoor Permutationenfamilie. Anschließend wird zufällig ein y R D f gewählt und x = f 1 (y) berechnet. Die sich daraus ergebenden Schlüssel sind pk = (f, y) und sk = x. Notwendig ist die Forderung, dass f 1 nicht als Teil des geheimen Schlüssels sk geführt wird. Algorithmen S und V funktionieren wie in Definition 1.21.

24 24 KAPITEL 1. GRUNDLAGEN Der Korrektheit halber verlangen wir, dass V(pk,S(pk, sk, m, r)) = 1 gilt. Nicht nur Verchlüsselungsverfahren, sondern auch digitale Signaturen bieten für Angreifer beliebte Ziele. Hier die möglichen Angriffstypen: Total-Breaking-Attacke: Der Angreifer kennt nur den öffentlichen Schlüssel. Damit versucht er, den geheimen Schlüssel zu brechen. Forgery-Attacke: Der Angreifer kennt den öffentlichen Schlüssel. Er versucht, zu einer gegebenen Nachricht, eine gültige Signatur zu finden. Dies entspricht einer Unterschriftenfälschung. Existential-Forgery-Attacke: Der Angreifer kennt den öffentlichen Schlüssel. Er versucht, zu einer beliebigen Nachricht, eine gültige Signatur zu finden. Chosen-Message-Attacke (CMA): Der Angreifer hat die Möglichkeit, gültige Signaturen zu erzeugen, kennt jedoch den geheimen Schlüssel nicht. Er versucht eine (Existential-) Forgery-Attacke durchzuführen oder den geheimen Schlüssel zu brechen. Adaptive-Chosen-Massage-Attacke: Der Angreifer hat die Möglichkeit, gültige Signaturen zu erzeugen, kennt den geheimen Schlüssel nicht. In Abhängigkeit von den erhaltenen Signaturen kann er neue Nachrichten signieren lassen. Er versucht eine (Existential-) Forgery- Attacke oder den geheimen Schlüssel zu brechen Sicherheitsdefinitionen In diesem Abschnitt wollen wir einige Definitionen angeben. Wir betrachten die PKE Verfahren und Signaturverfahren getrennt. Einige der Sicherheitsdefinitionen werden in Bezug auf die in den vorhergehenden Abschnitten vorgestellten Angriffstypen angegeben. Das Random Oracle Modell Das Konzept des Random Oracle Modells wird in der Kryptographie verwendet, um kryptographische Protokolle bzw. Verfahren auf ihre Sicherheit zu

25 1.2. KRYPTOGRAPHISCHE GRUNDLAGEN 25 überprüfen. Dazu modelliert man das Verfahren und gewährt allen Beteiligten an diesem Verfahren (in der Regel auch dem Angreifer), den Zugriff auf ein oder mehrere Orakel. Diese Orakel sind Funktionen, die durch Eingabe eines Wertes (Eingabewert) mit einem anderen Wert (Ausgabewert) antworten. Nimmt man für diese Funktionen an, dass sie echte Zufallswerte erzeugen, so handelt es sich bei den Funktionen um Random Oracles. Verwendet man nun in dem modellierten Verfahren solche Funktionen, dann handelt es sich um ein Random Oracle Modell. Sicherheit in Random Oracle Modellen lässt sich relativ leicht nachweisen. Man spricht bei einem Random-Oracle Modell auch von einem Idealen System. Da solche Systeme jedoch in der Wirklichkeit nicht vorkommen, versucht man Random Oracles durch Hashfunktionen zu ersetzen, ohne die Sicherheit des Systems zu verschlechtern. Sicherheit von PKE Verfahren Um Definitionen zur Sicherheit von Verschlüsselungsverfahren angeben zu können, wollen wir zwischen den Zielen eines Angreifers und den möglichen Angriffsszenarien unterscheiden. Wir unterscheiden zwei mögliche Ziele eines Angriffs. Das erste Ziel ist, aus einem vorliegenden Schlüsseltext möglichst viele Informationen zu erhalten, bis hin zur vollständigen Entschlüsselung oder der Schlüsselgewinnung. Das zweite Ziel ist, einen vorliegenden Schlüsseltext so zu verändern, dass der dazugehörige Klartext Sinn macht. Die Unfähigkeit eines Angreifers, das erste Ziel zu erreichen, wird mit Indistinguishability (Ununterscheidbarkeit) von Verschlüsselungen genannt. Eine andere Bezeichnung dafür lautet semantische Sicherheit. Die Unfähigkeit, das zweite Ziel zu erreichen, wird mit Non-Malleability (Unumformbarkeit) von Verschlüsselungen bezeichnet. Einige der möglichen Angriffsszenarien wurden im Abschnitt vorgestellt. Also bedeutet z.b. der Ausdruck IND-CPA, dass eine Chosen-Plaintext Attacke mit dem Ziel, einen gegebenen Schlüsseltest zu entschlüsseln, vorliegt. Wir werden im weiteren nur Angriffe mit dem Ziel der Entschlüsselung von Schlüsseltexten bzw. des Schlüsselbruches betrachten. Deshalb werden wir der Einfachheit halber für IND-CPA, IND-CCA1 bzw. IND-CCA2, CPA, CCA1 bzw. CCA2 schreiben.

26 26 KAPITEL 1. GRUNDLAGEN Zunächst noch einige Standardkonventionen, die benutzt werden, siehe auch [16]. Wir betrachten alle Angreifer als probabilistische Polynomialzeitalgorithmen. Sei Angreifer A ein PPT Algorithmus, dann beschreiben wir mit y := A(x 1, x 2,... ) die Ausgabe von A mit Eingabewerten x 1, x 2,.... Unsere Angreifer durchlaufen zwei Phasen. Phase Eins dient dem Angreifer zur Informationsbeschaffung, und in Phase Zwei versucht er das Verfahren zu brechen. Daher verwenden wir für unsere Angreifer folgende Notation: A = (A 1 (x 1, x 2,... ), A 2 (y 1, y 2,... )). Es gilt (y 1, y 2,... ) := A 1 (x 1, x 2,... ) und (z 1, z 2,... ) := A 2 (y 1, y 2,... ), d.h. die in Phase Eins gewonnenen Informationen verwendet Angreifer A in Phase Zwei als Eingabe für A 2. Mit A O 1,O 2,... (x 1, x 2,... ) bezeichnen wir einen Algorithmus, der Zugriff auf Funktionen O 1, O 2,..., hier auch Orakel genannt, erhält. Definition 1.23 Wir nennen eine Funktion ε : N R vernachlässigbar klein, wenn für jede Konstante c 0 ein k c Z existiert, so dass ε(k) k c für alle k k c. Die folgenden Sicherheitsdefinitionen sind eine leichte Abwandlung der Definitionen aus [16]. Definition 1.24 Ein PKE Verfahren Π =(KG,Enc,Dec) heißt semantisch sicher, wenn für jeden PPT Algorithmus A = (A 1, A 2 ) [ (sk, pk) := KG(k), (m0, m 2P r 1 ) := A 1 (pk), b R {0, 1}, c := Enc(pk, m b ) b := A 2 (m 0, m 1, c) vernachlässigbar klein ist. ] 1 Definition 1.25 Ein PKE Verfahren Π =(KG,Enc,Dec) heißt sicher im Sinne von CPA, wenn für jeden PPT Algorithmus A = (A 1, A 2 ) [ ] (sk, pk) := KG(k), (m 2P r 0, m 1 ) := A Enc(pk, ) 1 (pk), 1 b R {0, 1}, c := Enc(pk, m b ) b := A 2 (m 0, m 1, c) vernachlässigbar klein ist, vorausgesetzt A 1 hat niemals Enc(pk, m b ) mit b {0, 1} aufgerufen. Definition 1.26 Ein PKE Verfahren Π =(KG,Enc,Dec) heißt sicher im Sinne von CCA1, wenn für jeden PPT Algorithmus A = (A 1, A 2 ) [ ] (sk, pk) := KG(k), (m 2P r 0, m 1 ) := A Dec(sk, ) 1 (pk), 1 b R {0, 1}, c := Enc(pk, m b ) b := A 2 (m 0, m 1, c)

27 1.2. KRYPTOGRAPHISCHE GRUNDLAGEN 27 vernachlässigbar klein ist, vorausgesetzt A 1 hat niemals Dec(sk, c) aufgerufen. Definition 1.27 Ein PKE Verfahren Π =(KG,Enc,Dec) heißt sicher im Sinne von CCA2, wenn für jeden PPT Algorithmus A = (A 1, A 2 ) [ ] (sk, pk) := KG(k), (m 2P r 0, m 1 ) := A Dec(sk, ) 1 (pk), b R {0, 1}, c := Enc(pk, m b ) b := A Dec(sk, ) 1 2 (m 0, m 1, c) vernachlässigbar klein ist, vorausgesetzt A 1 und A 2 haben niemals Dec(sk, c) aufgerufen. Für die vier letzten Definitionen gilt: Algorithmus A 1 liefert bei Eingabe von pk zwei Nachrichten m 0, m 1 (Phase I). Algorithmus A 2 versucht bei Eingabe von (m 0, m 1, c), b zu berechnen (Phase II.) Sicherheit von Signaturverfahren Hier wollen wir die Definition für Sicherheit gegen CMA angeben. Diese Definition beschreibt die stärkste Sicherheit für digitale Signaturen. Definition 1.28 Sei Ω =(G,S,V) ein digitales Signaturverfahren. Wir sagen Ω ist unfälschbar im Sinne von CMA, wenn für jeden PPT Algorithmus A = (A 1, A 2 ) 2P r [ (pk, sk) := G(k), r := A S(sk, ) 1 (pk) (m, s) := A 2 (pk, r), V(pk, m, s) = 1 gilt, vorausgesetzt A 1 hat niemals S(sk, m) aufgerufen. ] 1

28 28 KAPITEL 1. GRUNDLAGEN

29 Kapitel 2 Standardverfahren und ihre Sicherheit In diesem Kapitel wollen wir einige mehr oder weniger bekannte Verfahren vorstellen, die den später vorgestellten Verfahren zugrunde liegen. Wir gehen dabei auf die Funktionsweise sowie die Sicherheit dieser Verfahren ein. 2.1 Okamoto-Schnorr Signaturverfahren Die Berechnungen bei dem Okamoto-Schnorr Verfahren werden in einer Gruppe Z q primer Ordnung q durchgeführt. Die Sicherheit dieses Verfahrens beruht auf der Schwierigkeit,das Diskrete Logarithmus Problem zu lösen. Wir zeigen kurz die Funktionsweise des Verfahrens auf. Für mehr Informationen kann der interessierte Leser [1],[8] und [17] zu Rate ziehen. Schlüsselerzeugung und Parameter Der Signierer führt folgende Operationen aus: Er wählt eine Untergruppe G von Z p, primer Ordnung q, er wählt zwei Primitivwurzeln g, h; also g, h G mit Elementordnung q, er wählt zwei Zufallszahlen x, y R Z q, er berechnet v = g x h y, 29

30 30 KAPITEL 2. STANDARDVERFAHREN UND IHRE SICHERHEIT er wählt und veröffentlicht eine Hashfunktion H : {0, 1} G Z q. Der öffentliche Schlüssel setzt sich zusammen aus (G, q, g, h, v, H). Der geheime Schlüssel ist (x, y). Signierung Möchte der Signierer eine Nachricht m {0, 1} signieren, so führt er folgende Schritte durch: Er wählt zwei Zufallszahlen r 1, r 2 R Z q, Er berechnet w = g r 1 h r 2, e = H(m, w) Er berechnet s 1 = r 1 + ex mod q, s 2 = r 2 + ey mod q. Die nun zur Nachricht m zugehörige, gültige Signatur lautet s 1, s 2, e. Verifikation Gegeben sei eine Signatur s 1, s 2, e zu einer Nachricht m {0, 1}. Diese Signatur bezeichnen wir als gültig, wenn gilt e = H(m, g s 1 h s 2 v e mod q). Sicherheit Die Sicherheit des Okamoto-Schnorr Signaturverfahrens basiert auf der Schwierigkeit, das Diskrete Logarithmus Problem zu lösen. Stellvertretend können wir das Theorem 20 aus [8] angeben: Theorem 2.1 Das Okamoto-Schnorr Verfahren ist sicher gegen existentielle Fälschung durch Chosen-Message-Attacken, wenn das Logarithmusproblem h = g α mod p schwer lösbar ist und die Einweghashfunktion kollisionsfrei ist.

31 2.2. BINARY-TREE-ENCRYPTION (BTE) Binary-Tree-Encryption (BTE) Die Struktur der BTE basiert, wie der Name schon sagt, auf einem binären Baum. Ein binärer Baum ist so aufgebaut, dass jeder innere Knoten einen Elternknoten und zwei Kinder hat. Die Wurzel eines Baumes ist der Knoten ohne Elternknoten. Die Blätter eines Baumes sind die Knoten ohne Kinderknoten. Alle Knoten eines binären Baumes werden durch Bitstrings dargestellt. Wir wollen hier die Wurzel des Baumes mit ɛ (ɛ entspricht einem leeren String) und die Kinderknoten des Knotens w {0, 1} x (Bitstring der Länge x mit 0 x n 1; {0, 1} 0 = ɛ) mit w0, w1 bezeichnen. n gibt die Tiefe des Baumes an. Die Größe von n hängt von der Wahl des Sicherheitsparameters k ab, also haben wir n(k). Wir wollen jedoch der Einfachheit halber nur n schreiben. Bei der BTE gibt es zu jedem Baum einen eindeutigen öffentlichen Schlüssel P K. Jeder Knoten w hat einen eigenen geheimen Schlüssel SK w, der passend zum öffentlichen Schlüssel P K ist. Möchte jemand eine Nachricht an einen Knoten adressieren, so benutzt er zum Verschlüsseln den öffentlichen Schlüssel des Baumes, sowie den Namen des Empfängerknotens. Zum Entschüsseln verwendet der Empfängerknoten seinen geheimen Schlüssel. Die Beschreibung des BTE kann auch in [13] nachgelesen werden. Definition 2.2 Ein Binary-Tree Public-Key Verschlüsselungsverfahren ist ein Viertupel von PPT Algorithmen (Gen,Der,Enc,Dec) mit folgenden Eigenschaften: Gen(k, n), der Schlüsselgenerierungsalgorithmus, erhält als Eingabe einen Sicherheitsparameter k sowie den Wert n für die Tiefe des Baumes. Als Ausgabe liefert er einen öffentlichen Schlüssel P K sowie einen initialen geheimen Schlüssel SK ɛ (geheimer Schlüssel des Wurzelknotens). (k und n stecken implizit in allen Schlüsseln und sind daher auch verantwortlich für die Länge der Schlüssel.) Der(w, SK w, P K), der Schlüsselableitungsalgorithmus, erhält als Eingabe den Namen eines Knotens w {0, 1} x, mit 0 x n 1, den zugehörigen geheimen Schlüssel SK w sowie den öffentlichen Schlüssel P K. Als Ausgabe liefert er die geheimen Schlüssel SK w0 und SK w1 der beiden Kinderknoten von w.

32 32 KAPITEL 2. STANDARDVERFAHREN UND IHRE SICHERHEIT Enc(P K, w, m), der Verschlüsselungsalgorithmus, erhält als Eingabe den öffentlichen Schlüssel des Baumes P K, den Namen eines Knotens w {0, 1} x mit 0 x n, an den die Nachricht gerichtet ist, sowie die Nachricht m. Als Ausgabe liefert er einen Chiffretext c. Dec(P K, SK w, w, c), der Entschlüsselungsalgorithmus, verwendet als Eingabe den Namen eines Knotens w, den zugehörigen geheimen Schlüssel SK w, den öffentlichen Schlüssel sowie den Chiffretext c. Als Ausgabe liefert er die Nachricht m. Für die Korrektheit des Verfahrens ist vorausgesetzt, dass für alle durch Gen erzeugten (P K, SK ɛ ), für jeden Knoten w {0, 1} x mit 0 x n sowie seinen korrekt erzeugten geheimen Schlüssel SK w und für jede beliebige Nachricht m gelten muss: m = Dec(P K, SK w, w, c = Enc(P K, w, m)). Nun wollen wir einige Sicherheitsdefinitionen angeben. Wir setzen voraus, dass der Angreifer sich auf einen bestimmten Knoten festlegt, bevor der Angriff stattfindet. Solch einen Angriff nennen wir Selective-Node-Attacke. Definition 2.3 Ein BTE Verfahren ist sicher gegen Selective-Node Chosen- Plaintext-Attacke (SN-CPA), wenn für alle polynomiell-beschränkten Funktionen n( ) der Vorteil für jeden PPT Angreifer A im folgenden Szenario vernachlässigbar klein ist: 1. Angreifer A(k, n) gibt w {0, 1} n, den Namen eines Knotens, aus. 2. Algorithmus Gen(k, n) berechnet das Schlüsselpaar (P K, SK ɛ ). Algorithmus Der generiert die geheimen Schlüssel der Knoten auf dem Pfad P von Wurzel ɛ bis w. Zusätzlich generiert Der die geheimen Schlüssel der Kinderknoten von w, falls w < n. Der Angreifer erhält den öffentlichen Schlüssel P K sowie alle SK w für Knoten w mit: w = w b, wobei w b ein Präfix von w ist und b {0, 1}. w sind sozusagen die Geschwisterknoten der Knoten in P. ( b = 0 falls b = 1 und b = 1 falls b = 0). w = w 0 oder w = w 1 (w ist Kind von w. Das gilt nur falls w < n).

33 2.2. BINARY-TREE-ENCRYPTION (BTE) 33 Mit diesen Informationen ist es dem Angreifer möglich, alle SK w berechnen, wobei w {0, 1} n und w kein Präfix von w ist. zu 3. Der Angreifer generiert einen Anfrage challenge(m 0, m 1 ) an ein Orakel. Das Orakel wählt zufällig ein Bit b R {0, 1} und sendet als Antwort auf die Anfrage c = Enc(P K, w, m b ). Anschließend bestimmt der Angreifer ein b {0, 1}. Der Angreifer ist erfolgreich falls b = b. Oder formal ausgedrückt: Sei P r [Succ A ] die Wahrscheinlichkeit dafür, dass Angreifer A erfolgreich ist im Sinne von SN-CPA. Dann ist ein BTE Verfahren sicher gegen die Selective- Node Chosen-Plaintext-Attacke (SN-CPA), falls P r [Succ A ] 1 2 vernachlässigbar klein ist. Definition 2.4 Ein BTE Verfahren ist sicher gegen die Selective-Node Chosen-Ciphertext-Attacke (SN-CCA), wenn für alle polynomiell-beschränkten Funktionen n( ) der Vorteil für jeden PPT Angreifer A im folgenden Szenario vernachlässigbar klein ist: 1. Angreifer A(k, n) gibt den Namen des anzugreifenden Knotens w {0, 1} n aus. 2. Algorithmus Gen(k, n) gibt (P K, SK ɛ ) aus. A erhält P K sowie die geheimen Schlüssel wie in Punkt 2 von Definition 2.3 beschrieben. 3. Der Angreifer hat die Möglichkeit, sich verschlüsselte Nachrichten entschlüsseln zu lassen. Dazu ruft er decrypt(w, c) mit w {0, 1} n auf. Darauf antwortet ein Decryption-Orakel mit dem zu c zugehörigen Klartext m =Dec(P K, w, SK w, c). (Der Angreifer hat die, Möglichkeit mehrere dieser Aufrufe zu machen). 4. A ruft challenge(m 0, m 1 ) auf. Daraufhin wählt ein Orakel ein zufälliges Bit b R {0, 1}, und antwortet mit c =Enc(P K, w, m b ). 5. Zum Schluss gibt der Angreifer ein Bit b aus.

34 34 KAPITEL 2. STANDARDVERFAHREN UND IHRE SICHERHEIT A ist erfolgreich, falls b = b. Oder formal audgedrückt: Sei P r [Succ A ] die Wahrscheinlichkeit dafür, dass Angreifer A erfolgreich ist im Sinne von SN- CCA. Dann ist ein BTE Verfahren sicher gegen die Selective-Node Chosen- Ciphertext-Attacke (SN-CCA), falls gilt: vernachlässigbar klein ist. P r [Succ A ] 1 2 Bemerkung 2.5 Der Angreifer hat die Möglichkeit, die decrypt-aufrufe sowohl vor als auch nach dem challenge-aufruf auszuführen. Die decrypt- Aufrufe nach dem challenge-aufruf dürfen nur erfolgen, wenn decrypt(w, c) mit w w oder c c aufgerufen wird. Ebenso darf kein challenge(m 0, m 1 )- Aufruf erfolgen, falls A zuvor decrypt(w, m 0 ) oder decrypt(w, m 1 ) aufgerufen hat. Ein BTE Verfahren In diesem Abschnitt werden wir ein Verfahren angeben, das sicher ist im Sinne von SN-CPA, wenn bestimmte Voraussetzungen erfüllt sind. Theorem 2.6 Unter der Annahme, dass das BDH-Entscheidungsproblem nicht lösbar ist, existiert ein BTE, das sicher ist gegen SN-CPA. Wir zeigen die Gültigkeit des Theorems, indem wird ein BTE Verfahren angeben und zeigen, dass, falls das BDH-Entscheidungsproblem ist schwer lösbar, das Verfahren sicher im Sinne von SN-CPA ist. Es wird gezeigt werden, dass das Verfahren die Sicherheit im Standardmodell für binäre Bäume polynomieller Tiefe erfüllt. Definition 2.7 Sei n polynomiell beschränkt. Unter einer (2n + 1)-fach unabhängigen Funktionenfamilie H verstehen wir eine Menge von Funktionen H : {0, 1} n G 1, für die es ohne grossen Aufwand möglich ist, bei gegebenen x 1,..., x l {0, 1} n und g 1,... g l G 1 (mit l 2n + 1), eine zufällige Funktion H H zu finden, so dass H(x i ) = g i für i = 1,..., l. (n hängt vom Sicherheitsparameter k ab, also n(k). Wir schreiben der Einfachheit halber n.)

35 2.2. BINARY-TREE-ENCRYPTION (BTE) 35 Bevor wir das Verfahren angeben, möchten wir zuerst ein paar Notationen sowie Voraussetzungen einführen. Wir verwenden die Notation w i für ein i-bit Präfix eines Wortes w 1 w 2... w l, d.h. w i beschreibt die ersten i Zeichen des Wortes, also w i = w 1 w 2... w i. Mit ɛ bezeichnen wir den leeren String. n ist eine polynomielle Größe, die die Tiefe unseres Baumes angibt. Uns steht eine (2n + 1)-fach unabhängige Funktionenfamilie H zur Verfügung. Darüber hinaus setzten wir voraus, dass der IG Parametergenerator dem BDH Entscheidungsproblem genügt. Wir geben nun das folgende Verfahren an: a) Algorithmus Gen(k, n) führt folgende Schritte aus: IG(k) wird gestartet. IG gibt die Gruppen G 1, G 2 primer Ordnung q, sowie eine bilineare Abbildung ê aus. (siehe Definition 1.11). Es werden zufällig eine Primitivwurzel P R G 1 sowie ein Element α R Z q gewählt. Es wird gesetzt Q = αp. Ein zufälliges H H wird gewählt. Daraus ergibt sich das Schlüsselpaar (P K, SK ɛ ). P K = (G 1, G 2, ê, P, Q, H, n) ist der öffentliche Schlüssel. SK ɛ = αh(ɛ) ist der initiale geheime Schlüssel. (ɛ entspricht dem Wurzelknoten). b) Der(P K, w, SK w ) berechnet die geheimen Schlüssel der Kinderknoten w0 und w1 von w. Als Eingabe für die Berechnung dienen der öffentliche Schlüssel des Baumes (P K), der Name des Knotens w, sowie der zugehörige geheime Schlüssel SK w von w. SK w hat folgende Form: SK w = (R w 1, R w 2..., R w, S w ) mit w = w l = w 1... w l. Die Berechnung von SK w0 und SK w1 verläuft wie folgt: Wähle zwei Zufallszahlen r w0, r w1 R Z q und berechne: R w0 = r w0 P, R w1 = r w1 P und S w0 = S w + r w0 H(w0) S w1 = S w + r w1 H(w1) (beachte S w = S ɛ + l i=1 r w i H(w i ) mit l = w )

36 36 KAPITEL 2. STANDARDVERFAHREN UND IHRE SICHERHEIT Berechne und gib aus: SK w0 = (R w 1, R w 2,..., R w, R w0, S w0 ) SK w1 = (R w 1, R w 2,..., R w, R w1, S w1 ) (für den initialen geheimen Schlüssel gilt SK ɛ = S ɛ = αh(ɛ)) Wir können eine bessere Effizienz erreichen, wenn wir r w0 = r w1 wählen. Dadurch wird die Sicherheit des Verfahrens nicht beeinträchtigt. Es liegt daran, dass in jede Berechnung, in die r w0 und r w1 einfließen, noch ein weiterer Zufallswert mit einfließt. Daurch wird der berechnete Wert zuällig. c) Die Verschlüsselungsfunktion Enc(P K, w, m) berechnet zu einer gegebenen Nachricht m G 2 einen Schlüsseltext c auf folgende Weise: Sei w = w 1 w 2... w l. Wähle zufällig ein γ R Z q. Berechne Chiffretext c = (γp, γh(w 1 ), γh(w 2 ),..., γh(w), md) mit d = ê(q, H(ɛ)) γ. d) Die Entschlüsselungsfunktion Dec(P K, w, SK w, c) berechnet zu einem Schlüsseltext c den entsprechenden Klartext m G 2 auf folgende Weise: Sei w = w 1 w 2... w l. Setze SK w = (R w 1, R w 2,..., R w, S w ) und c = (U 0, U 1,..., U l, V ). Berechne m = V d, wobei gilt: d = ê(u 0, S w ) l i=1 ê(r w i, U i ) Nun muss noch die Richtigkeit der Entschlüsselung überprüft werden, d.h. ob m=dec(p K, w, SK w,enc(p K, w, m)). Bei der Verschlüsselung gilt: d = ê(q, H(ɛ)) γ = ê(p, H(ɛ)) αγ (siehe Definition 1.11 bilineare Funktionen). Betrachten wir folgendes: ( ê(u 0, S w ) ê γp, αh(ɛ) + ) l d = l i=1 ê(r w i, U i ) = i=1 r w i H(w i ) l i=1 ê ( r w i P, γh(w i ) ) = ê(p, H(ɛ))αγ l i=1 ê(p, H(w i)) γr w i l i=1 ê (P, H(w i)) γr w i = ê(p, H(ɛ)) γα