Asymmetrische Verschlüsselungsverfahren

Transkript

1 Asymmetrische Verschlüsselungsverfahren Vorlesung 4 Alexander Koch (Vertretung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK Alexander Koch Asymmetrische Verschlüsselungsverfahren KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft

2 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren

3 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 1. gemeinsamen Schlüssel k austauschen Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren

4 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 2. Alice verschlüsselt m: c := Enc k (m) 1. gemeinsamen Schlüssel k austauschen Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren

5 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 2. Alice verschlüsselt m: c := Enc k (m) Alice 1. gemeinsamen Schlüssel k austauschen 3. Versenden von c über unsicheren Kanal Eve lauscht Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren

6 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 1. gemeinsamen Schlüssel k austauschen 2. Alice verschlüsselt m: c := Enc k (m) Alice 3. Versenden von c über unsicheren Kanal Eve lauscht Bob 4. Bob entschlüsselt c: m := Dec k (c) Eve Eve kann aus c nichts lernen Alexander Koch Asymmetrische Verschlüsselungsverfahren

7 Szenario mit symmetrischer Verschlüsselung Alice möchte Bob eine private Nachricht schicken 1. gemeinsamen Schlüssel k austauschen 2. Alice verschlüsselt m: c := Enc k (m) Alice 3. Versenden von c über unsicheren Kanal Eve lauscht Bob 4. Bob entschlüsselt c: m := Dec k (c) Eve Eve kann aus c nichts lernen Frage: Geht das vollständig über unsicheren Kanal? Alexander Koch Asymmetrische Verschlüsselungsverfahren

8 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 (asymmetrische) -Verschlüsselung praktisch anwenden können, 3 die formale Definition eines PKE kennen und damit umgehen können, 4 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 5 verstehen, wieso PKE nicht perfekt sicher sein können, 6 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 7 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren

9 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 (asymmetrische) -Verschlüsselung praktisch anwenden können, 3 die formale Definition eines PKE kennen und damit umgehen können, 4 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 5 verstehen, wieso PKE nicht perfekt sicher sein können, 6 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 7 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren

10 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 (asymmetrische) -Verschlüsselung praktisch anwenden können, 3 die formale Definition eines PKE kennen und damit umgehen können, 4 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 5 verstehen, wieso PKE nicht perfekt sicher sein können, 6 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 7 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren

11 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 (asymmetrische) -Verschlüsselung praktisch anwenden können, 3 die formale Definition eines PKE kennen und damit umgehen können, 4 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 5 verstehen, wieso PKE nicht perfekt sicher sein können, 6 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 7 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren

12 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 (asymmetrische) -Verschlüsselung praktisch anwenden können, 3 die formale Definition eines PKE kennen und damit umgehen können, 4 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 5 verstehen, wieso PKE nicht perfekt sicher sein können, 6 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 7 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren

13 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 (asymmetrische) -Verschlüsselung praktisch anwenden können, 3 die formale Definition eines PKE kennen und damit umgehen können, 4 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 5 verstehen, wieso PKE nicht perfekt sicher sein können, 6 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 7 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren

14 Lernziele heute Ziel ist es, dass Sie nach dieser Lehrveranstaltung... 1 den konzeptionellen Unterschied zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren (PKE) verstehen und diese an Hand von Vor- und Nachteilen vergleichen können, 2 (asymmetrische) -Verschlüsselung praktisch anwenden können, 3 die formale Definition eines PKE kennen und damit umgehen können, 4 den gängigen Begriff von Sicherheit gegenüber (passiven) Lauschern verstehen und die Wahl dieses Begriffes motivieren können, 5 verstehen, wieso PKE nicht perfekt sicher sein können, 6 verstehen, wieso sichere PKE nicht deterministisch verschlüsseln, 7 Varianten des Sicherheitsbegriffs vergleichen können Alexander Koch Asymmetrische Verschlüsselungsverfahren

15 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 1. Bob erzeugt Schlüsselpaar Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren

16 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 2. Bob veröffentlicht 1. Bob erzeugt Schlüsselpaar Alice Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren

17 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 3. Alice verschlüsselt m: c Enc (m) Alice 2. Bob veröffentlicht Bob 1. Bob erzeugt Schlüsselpaar Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren

18 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 2. Bob veröffentlicht 3. Alice verschlüsselt m: c Enc (m) 4. Versenden von c über unsicheren Kanal 1. Bob erzeugt Schlüsselpaar Alice Eve lauscht Bob Eve Alexander Koch Asymmetrische Verschlüsselungsverfahren

19 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 2. Bob veröffentlicht 3. Alice verschlüsselt m: c Enc (m) 4. Versenden von c über unsicheren Kanal 1. Bob erzeugt Schlüsselpaar 5. Bob entschlüsselt c: m := Dec (c) Alice Eve lauscht Bob Eve Eve kann aus, c nichts lernen Alexander Koch Asymmetrische Verschlüsselungsverfahren

20 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 2. Bob veröffentlicht 3. Alice verschlüsselt m: c Enc (m) 4. Versenden von c über unsicheren Kanal 1. Bob erzeugt Schlüsselpaar 5. Bob entschlüsselt c: m := Dec (c) Alice Eve lauscht Bob Eve Eve kann aus, c nichts lernen Frage: Welcher Schlüssel wird wo verwendet? Alexander Koch Asymmetrische Verschlüsselungsverfahren

21 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 3. Alice verschlüsselt m: c Enc pk (m) Alice 2. Bob veröffentlicht pk 4. Versenden von c über unsicheren Kanal Eve lauscht Bob 1. Bob erzeugt Schlüsselpaar 5. Bob entschlüsselt c: m := Dec sk (c) Eve Frage: Welcher Schlüssel wird wo verwendet? Eve kann aus pk, c nichts lernen Alexander Koch Asymmetrische Verschlüsselungsverfahren

22 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken Alexander Koch Asymmetrische Verschlüsselungsverfahren

23 Szenario mit PKE Alice möchte Bob eine private Nachricht schicken 3. Alice verschlüsselt m: c Enc pk (m) Alice 2. Bob veröffentlicht pk 4. Versenden von c über unsicheren Kanal Eve lauscht Bob 1. Bob erzeugt Schlüsselpaar 5. Bob entschlüsselt c: m := Dec sk (c) Eve Eve kann aus pk, c nichts lernen Beachte: Für jeden Empfänger benötigen wir ein Schlüsselpaar. Symmetrisch: Je zwei Personen benötigen einen gem. Schlüssel Alexander Koch Asymmetrische Verschlüsselungsverfahren

24 Demo: GnuPG mit Enigmail Alexander Koch Asymmetrische Verschlüsselungsverfahren

25 Syntax eines PKE-Schemas Ein PKE-Schema besteht aus drei PPT 1 -Algorithmen: Schlüssel erzeugen. Gen(1 n ) erhält Sicherheitsparameter 1 n und gibt Schlüsselpaar (pk, sk) aus. Verschlüsseln. Enc pk (m) erhält öffentlichen Schlüssel pk und Nachricht m und gibt ein Chiffrat aus. Entschlüsseln. Dec sk (c) erhält geheimen Schlüssel sk und Chiffrat c und gibt die entschlüsselte Nachricht aus, oder falls nicht entschlüsselt werden konnte. 1 probabilistisch und polynomialzeitbeschränkt ˆ= effizient Alexander Koch Asymmetrische Verschlüsselungsverfahren

26 Korrektheit Das PKE-Schema entschlüsselt regulär erstellte Chiffrate korrekt, d.h. für alle (sk, pk) im Bild von Gen gilt Dec sk (Enc pk (m)) = m. Allgemeiner: Pr[Dec sk (Enc pk (m)) = m] ist vernachlässigbar (mit Wahrscheinlichkeit über Zufall von Gen und Enc). Wiederholung vernachlässigbar Eine Funktion f ist vernachlässigbar, wenn es für jedes Polynom p( ) ein N gibt, sodass für alle n > N gilt: f (n) < 1 p(n). f fällt asymptotisch schneller als der Kehrwert jedes Polynoms. 1 Frage: Warum nicht: f fällt schneller als 2O(n)? Alexander Koch Asymmetrische Verschlüsselungsverfahren

27 Korrektheit Das PKE-Schema entschlüsselt regulär erstellte Chiffrate korrekt, d.h. für alle (sk, pk) im Bild von Gen gilt Dec sk (Enc pk (m)) = m. Allgemeiner: Pr[Dec sk (Enc pk (m)) = m] ist vernachlässigbar (mit Wahrscheinlichkeit über Zufall von Gen und Enc). Wiederholung vernachlässigbar Eine Funktion f ist vernachlässigbar, wenn es für jedes Polynom p( ) ein N gibt, sodass für alle n > N gilt: f (n) < 1 p(n). f fällt asymptotisch schneller als der Kehrwert jedes Polynoms. 1 Frage: Warum nicht: f fällt schneller als 2O(n)? Alexander Koch Asymmetrische Verschlüsselungsverfahren

28 Korrektheit Das PKE-Schema entschlüsselt regulär erstellte Chiffrate korrekt, d.h. für alle (sk, pk) im Bild von Gen gilt Dec sk (Enc pk (m)) = m. Allgemeiner: Pr[Dec sk (Enc pk (m)) = m] ist vernachlässigbar (mit Wahrscheinlichkeit über Zufall von Gen und Enc). Wiederholung vernachlässigbar Eine Funktion f ist vernachlässigbar, wenn es für jedes Polynom p( ) ein N gibt, sodass für alle n > N gilt: f (n) < 1 p(n). f fällt asymptotisch schneller als der Kehrwert jedes Polynoms. 1 Frage: Warum nicht: f fällt schneller als 2O(n)? Alexander Koch Asymmetrische Verschlüsselungsverfahren

29 Korrektheit Das PKE-Schema entschlüsselt regulär erstellte Chiffrate korrekt, d.h. für alle (sk, pk) im Bild von Gen gilt Dec sk (Enc pk (m)) = m. Allgemeiner: Pr[Dec sk (Enc pk (m)) = m] ist vernachlässigbar (mit Wahrscheinlichkeit über Zufall von Gen und Enc). Wiederholung vernachlässigbar Eine Funktion f ist vernachlässigbar, wenn es für jedes Polynom p( ) ein N gibt, sodass für alle n > N gilt: f (n) < 1 p(n). f fällt asymptotisch schneller als der Kehrwert jedes Polynoms. 1 Frage: Warum nicht: f fällt schneller als 2O(n)? Antwort: unnötig/zu stark, wichtig v.a.: f vernachlässigbar, p Polynom = f p vernachlässigbar Alexander Koch Asymmetrische Verschlüsselungsverfahren

30 Wie Sicherheit definieren? Kein Angreifer kann, gegeben ein Chiffrat C Enc pk (M), die enthaltene Nachricht M ausgeben Alexander Koch Asymmetrische Verschlüsselungsverfahren

31 Wie Sicherheit definieren? Kein effizienter Angreifer kann, gegeben ein Chiffrat C Enc pk (M), die enthaltene Nachricht M mit nicht-vernachlässigbarer Wahrscheinlichkeit ausgeben. Bzw. Jeder effiziente Angreifer hat, gegeben ein Chiffrat C Enc pk (M), nur eine vernachlässigbare Wahrscheinlichkeit, die enthaltene Nachricht M auszugeben. Frage: Warum ist diese Sicherheitsdefinition viel zu schwach? Alexander Koch Asymmetrische Verschlüsselungsverfahren

32 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk Mit dem pk kann ich mir jetzt beliebige Chiffrate selbst erzeugen ich brauche also ein mögliches Verschlüsselungsorakel gar nicht... Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren

33 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk Welche beiden Nachrichten m 0, m 1 machen mir das Gewinnen am leichtesten? Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren

34 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 Welche beiden Nachrichten m 0, m 1 machen mir das Gewinnen am leichtesten? Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren

35 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk b {0, 1} c Enc pk (m b ) m 0, m 1, mit m 0 = m 1, m 0 = m 1 Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren

36 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk b {0, 1} c Enc pk (m b ) m 0, m 1, mit m 0 = m 1, m 0 = m 1 c Welche der beiden Nachrichten steckt wohl in c? Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren

37 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk b {0, 1} c Enc pk (m b ) m 0, m 1, mit m 0 = m 1, m 0 = m 1 c Welche der beiden Nachrichten steckt wohl in c? Ich vermute Nachricht m b... b Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt Alexander Koch Asymmetrische Verschlüsselungsverfahren

38 Sicherheit gegen passive Lauscher Das IND-CPA-Sicherheitsspiel Herausforderer Angreifer pk b {0, 1} c Enc pk (m b ) m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b b = b? Angreifer gewinnt, wenn er errät, welche Nachricht in einem Chiffrat einer von zwei selbstgewählten Nachrichten steckt. Also, wenn b = b Alexander Koch Asymmetrische Verschlüsselungsverfahren

39 Sicherheit gegen passive Lauscher Indistinguishability under Chosen-Plaintext Attacks Ein PKE-Schema ist sicher gegen Lauscher, bzw. IND-CPA-sicher, wenn für jeden effizienten Angreifer A der Gewinnvorteil gegenüber Raten (mit Fifty-fifty-Chance ) vernachlässigbar im Sicherheitsparameter n ist, d.h. Pr[A gewinnt] 1 2 f (n), für eine vernachlässigbare Funktion f Alexander Koch Asymmetrische Verschlüsselungsverfahren

40 Es gibt keine perfekte Sicherheit Im Gegensatz zur symmetrischen Verschlüsselung kann hier ein unbeschränkter Angreifer das System immer brechen. Wie? Alexander Koch Asymmetrische Verschlüsselungsverfahren

41 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer pk Alexander Koch Asymmetrische Verschlüsselungsverfahren

42 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 ruft Gen(1 n ) auf, bis (pk, sk) ausgegeben wird, wählt m 0, m 1 beliebig Alexander Koch Asymmetrische Verschlüsselungsverfahren

43 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer b {0, 1} c Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c ruft Gen(1 n ) auf, bis (pk, sk) ausgegeben wird, wählt m 0, m 1 beliebig Alexander Koch Asymmetrische Verschlüsselungsverfahren

44 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer b {0, 1} c Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b ruft Gen(1 n ) auf, bis (pk, sk) ausgegeben wird, wählt m 0, m 1 beliebig m := Dec sk (c ), Ist m = m 0? ja: b := 0, nein: b := 1 b = b? Alexander Koch Asymmetrische Verschlüsselungsverfahren

45 Es gibt keine perfekte Sicherheit Angriff durch unbeschränkten Angreifer Herausforderer Angreifer b {0, 1} c Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b ruft Gen(1 n ) auf, bis (pk, sk) ausgegeben wird, wählt m 0, m 1 beliebig m := Dec sk (c ), Ist m = m 0? ja: b := 0, nein: b := 1 b = b? Angreifer gewinnt immer, aber läuft vermutlich sehr lange Alexander Koch Asymmetrische Verschlüsselungsverfahren

46 Deterministische PKE sind unsicher Wenn der Enc-Algorithmus deterministisch ist, ist das Verfahren unsicher. Wieso? Alexander Koch Asymmetrische Verschlüsselungsverfahren

47 Deterministische PKE sind unsicher Herausforderer Angreifer pk Idee: Angreifer verschlüsselt einfach selbst die Nachrichten und vergleicht mit c Alexander Koch Asymmetrische Verschlüsselungsverfahren

48 Deterministische PKE sind unsicher Herausforderer Angreifer b {0, 1} c := Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c wählt m 0, m 1 beliebig Idee: Angreifer verschlüsselt einfach selbst die Nachrichten und vergleicht mit c Alexander Koch Asymmetrische Verschlüsselungsverfahren

49 Deterministische PKE sind unsicher Herausforderer Angreifer b {0, 1} c := Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b wählt m 0, m 1 beliebig Ist c = Enc pk (m 0 )? ja: b := 0, nein: b := 1 b = b? Idee: Angreifer verschlüsselt einfach selbst die Nachrichten und vergleicht mit c Alexander Koch Asymmetrische Verschlüsselungsverfahren

50 Deterministische PKE sind unsicher Herausforderer Angreifer b {0, 1} c := Enc pk (m b ) pk m 0, m 1, mit m 0 = m 1, m 0 = m 1 c b wählt m 0, m 1 beliebig Ist c = Enc pk (m 0 )? ja: b := 0, nein: b := 1 b = b? Insbesondere: Das Lehrbuch-RSA-Schema (letzte Vorlesung) ist nicht sicher! Nächste Vorlesung: Wie gehts sicher (und effizient)? Alexander Koch Asymmetrische Verschlüsselungsverfahren

51 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren

52 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk b {0, 1} i : c i Enc pk (m i b ) (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren

53 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk b {0, 1} i : c i Enc pk (m i b ) (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) C = (c 1,..., c t ) Alexander Koch Asymmetrische Verschlüsselungsverfahren

54 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk b {0, 1} i : c i Enc pk (m i b ) (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) C = (c 1,..., c t ) b b = b? Alexander Koch Asymmetrische Verschlüsselungsverfahren

55 Sicherheit bei mehreren Chiffraten Was ist, wenn mehr als eine Nachricht verschlüsselt wird? Herausforderer Angreifer pk b {0, 1} i : c i Enc pk (m i b ) (m 1 0,..., mt 0 ), (m1 1,..., mt 1 ) C = (c 1,..., c t ) b b = b? IND-CPA-sicher für mehrere Chiffrate: Für jeden effizienten Angreifer A ist Pr[A gewinnt] 1 2 vernachlässigbar in n Alexander Koch Asymmetrische Verschlüsselungsverfahren

56 Sicherheit für mehrere Chiffrate nicht stärker Proposition Ein IND-CPA-sicheres PKE-Schema ist auch IND-CPA-sicher für mehrere Chiffrate. Beweis. Per Reduktion: Aus einem beliebigen PPT-Angreifer A auf das IND-CPA-Sicherheitsexperiment für mehrere Chiffrate konstruieren wir einen PPT-Angreifer B auf die IND-CPA-Sicherheit (für einzelne Chiffrate). Reduktion auf nächster Folie und Tafel, bzw. Katz Lindell, Alexander Koch Asymmetrische Verschlüsselungsverfahren

57 Reduktion mit Hybridargument Herausforderer B pk pk A m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren

58 Reduktion mit Hybridargument Herausforderer B pk pk A b {0, 1} c i Enc pk (m i b ) m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren

59 Reduktion mit Hybridargument Herausforderer B pk pk A b {0, 1} c i Enc pk (m i b ) m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) c i Alexander Koch Asymmetrische Verschlüsselungsverfahren

60 Reduktion mit Hybridargument Herausforderer B pk pk A b {0, 1} c i Enc pk (m i b ) m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) c i Erzeuge fehlende c j 2(c 1,..., c t ) 2 für j < i, berechne c j Enc pk (m j 0 ); für j > i berechne c j Enc pk (m j 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren

61 Reduktion mit Hybridargument Herausforderer B pk pk A b {0, 1} c i Enc pk (m i b ) m i 0, mi 1, mit i {1,..., t} (m1 0,..., mt 0 ), (m1 1,..., mt 1 ) c i Erzeuge fehlende c j 2(c 1,..., c t ) b b b = b? 2 für j < i, berechne c j Enc pk (m j 0 ); für j > i berechne c j Enc pk (m j 1 ) Alexander Koch Asymmetrische Verschlüsselungsverfahren

62 Bitverschlüsselung reicht aus Gegeben ein PKE-Schema Π = (Gen, Enc, Dec), dass Bits IND-CPA-sicher verschlüsselt, können wir daraus ein PKE-Schema Π = (Gen, Enc, Dec ) konstruieren, dass beliebige Nachrichten aus {0, 1} IND-CPA-sicher verschlüsseln kann: Enc pk (m) = Enc pk (m 1 ),..., Enc pk (m t ) Alexander Koch Asymmetrische Verschlüsselungsverfahren

63 Zusammenfassung 1 PKE-Schema: PPT-Algorithmen (Gen(1 n ), Enc pk (m), Dec sk (c)) 2 IND-CPA-Sicherheit: Kein effizienter Angreifer kann mit mehr als vernachlässigbarer Wahrscheinlichkeit Chiffrate zweier selbstgewählter, gleichlanger Nachrichten unterscheiden 3 Bei unbeschränktem Angreifer unsicher 4 Verschlüsseln zwingend probabilistisch 5 Sicherheit automatisch für viele Chiffrate Bilder: XKCD, CC-BY-NC Alexander Koch Asymmetrische Verschlüsselungsverfahren

64 Zusammenfassung 1 PKE-Schema: PPT-Algorithmen (Gen(1 n ), Enc pk (m), Dec sk (c)) 2 IND-CPA-Sicherheit: Kein effizienter Angreifer kann mit mehr als vernachlässigbarer Wahrscheinlichkeit Chiffrate zweier selbstgewählter, gleichlanger Nachrichten unterscheiden 3 Bei unbeschränktem Angreifer unsicher 4 Verschlüsseln zwingend probabilistisch 5 Sicherheit automatisch für viele Chiffrate Vielen Dank für Ihre Aufmerksamkeit. Quelle: Katz und Lindell (2007, Kap exkl.) Bilder: XKCD, CC-BY-NC Alexander Koch Asymmetrische Verschlüsselungsverfahren

65 References Katz, J. und Y. Lindell (2007). Introduction to Modern Cryptography. Chapman und Hall/CRC Press. Randall Munroe. XKCD comic figures from CC-BY-NC Alexander Koch Asymmetrische Verschlüsselungsverfahren