Kryptographie II Asymmetrische Kryptographie

Transkript

1 Kryptographie II Asymmetrische Kryptographie Alexander May Fakultät für Mathematik Ruhr-Universität Bochum Wintersemester 2017/18 Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 1 / 174

2 Erinnerung an Kryptographie I Symmetrische Kryptographie Parteien besitzen gemeinsamen geheimen Schlüssel. Erlaubt Verschlüsselung, Authentifikation, Hashen, Auswerten von Pseudozufallspermutationen. Frage: Wie tauschen die Parteien einen Schlüssel aus? Nachteile 1 U Teilernehmer benötigen ( U 2) = Θ(U 2 ) viele Schlüssel. 2 Jeder Teilnehmer muss U 1 Schlüssel sicher speichern. Update erforderlich, falls Teilnehmer hinzukommen oder gelöscht werden. 3 Schlüsselaustausch funktioniert nicht in offenen Netzen. Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 2 / 174

3 Schlüsselverteilungs-Center (KDC) Partielle Lösung: Verwenden vertrauenswürdige Instanz IT-Manager eröffnet Key Distribution Center (KDC). Teilnehmer besitzen gemeinsamen, geheimen Schlüssel mit KDC. Alice schickt Nachricht Kommunikation mit Bob an KDC. Alice authentisiert Nachricht mit ihrem geheimen Schlüssel. KDC wählt einen Session-Key k, d.h. einen neuen Schlüssel. KDC schickt Verschlüsselung Enc ka (k) an Alice. KDC schickt Verschlüsselung Enc kb (k) an Bob. Alternativ im Needham Schröder Protokoll: KDC schickt Enc kb (k) an Alice und diese leitet an Bob weiter. Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 3 / 174

4 Vor- und Nachteile von KDCs Vorteile Jeder Teilnehmer muss nur einen Schlüssel speichern. Hinzufügen/Entfernen eines Teilnehmers erfordert Update eines Schlüssels. Nachteile Kompromittierung von KDC gefährdet das gesamte System. Falls KDC ausfällt, ist sichere Kommunikation nicht möglich. Praktischer Einsatz von KDCs Kerberos (ab Windows 2000) Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 4 / 174

5 Diffie Hellman Gedankenexperiment Szenario Alice will eine Kiste zu Bob schicken. Post ist nicht zu trauen, d.h. die Kiste muss verschlossen werden. Sowohl Alice als auch Bob besitzen ein Schloss. Algorithmus 3-Runden Diffie-Hellman Austausch 1 Alice sendet die Kiste an Bob, verschlossen mit ihrem Schlüssel. 2 Bob sendet die Kiste zurück, verschlossen mit seinem Schlüssel. 3 Alice entfernt ihr Schloss und sendet die Kiste an Bob. 4 Bob entfernt sein Schloss und öffnet die Kiste. Beobachtung: Viele Funktionen sind inherent asymmetrisch. Zudrücken eines Schlosses ist leicht, Öffnen ist schwer. Multiplizieren von Zahlen ist leicht, Faktorisieren ist schwer. Exponentieren von Zahlen ist leicht, dlog ist (oft) schwer. Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 5 / 174

6 Diffie Hellman Gedankenexperiment Alice Bob A A B A B B Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 6 / 174

7 Diffie-Hellman Schlüsselaustausch (1976) Szenario: Alice und Bob verwenden öffentlichen Kanal. Ziel: Beide wollen einen zufälligen Bitstring k austauschen. Angreifer ist passiv, d.h. kann nur lauschen, nicht manipulieren. Systemparameter: Sicherheitsparameter 1 n Schlüsselerzeugung (G, q, g) G(1 n ) G ist probabilistischer polynomial-zeit (in n) Algorithmus G ist multiplikative Gruppe mit Ordnung q und Generator g. Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 7 / 174

8 2-Runden Diffie-Hellman Schlüsselaustausch Protokoll 2-Runden Diffie-Hellman Schlüsselaustausch 1 Alice: Wähle x R Z q. Sende h 1 = g x an Bob. 2 Bob: Wähle y R Z q. Sende h 2 = g y an Alice. 3 Alice: Berechne k A = h2 x. 4 Bob: Berechne k B = h y 1. Alice x R Z q h 1 := g x h 1 k A := h x 2 h 2 Bob y R Z q h 2 := g y k B := h y 1 Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 8 / 174

9 Korrektheit und Schlüsselerzeugung Korrektheit: k A = k B Alice berechnet Schlüssel k A = h x 2 = (gy ) x = g xy. Bob berechnet Schlüssel k B = h y 1 = (gx ) y = g xy. Schlüsselerzeugung: Gemeinsamer Schlüssel k A = k B G ist ein Gruppenelement, kein Zufallsstring k {0, 1} m. Konstruktion von Zufallsstring mittels sog. Zufallsextraktoren. Sei k A ein zufälliges Gruppenelement aus G. Zufallsextraktor liefert bei Eingabe k A einen Schlüssel k {0, 1} m, ununterscheidbar von einem Zufallsstring derselben Länge. Übung: Schlüssel k + sichere symmetrische Verschlüsselung liefert zusammen ein beweisbar sicheres Verfahren. Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 9 / 174

10 Spiel zur Unterscheidung des Schlüssels Spiel Schlüsselaustausch KE A,Π (n) Sei Π ein Schlüsselaustausch Protokoll für Gruppenelemente aus G. Sei A ein Angreifer für Π. 1 (k 0, trans) Π(n), wobei k 0 der gemeinsame Schlüssel und trans der Protokollablauf ist. 2 Wähle k 1 R {0, 1} n und b R {0, 1}. { 3 b 1 falls b = b A(trans, k b ). Ausgabe. 0 sonst A gewinnt, falls KE A,Π (n) = 1. D.h. A gewinnt, falls er erkennt, welches der korrekte Schlüssel k des Protokolls Π und welches der zufällige Schlüssel k R G ist. A kann trivialerweise mit Ws 1 2 gewinnen. (Wie?) Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 10 / 174

11 Spiel zur Unterscheidung des Schlüssels KE A,Π (n) (trans, k 0 ) Π(n) b R {0, 1} k 1 R {0, 1} n Ausgabe: { 1 falls b = b = 0 sonst (trans, k b ) b A b {0, 1} Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 11 / 174

12 Sicherheit Schlüsselaustausch Definition negl(n) Erinnerung aus Krypto I Eine Funktion f : N R + heißt vernachlässigbar, falls für jedes Polynom p(n) und alle hinreichend großen n gilt f (n) < 1 p(n). Notation: Wir bezeichnen eine bel. vernachlässigbare Fkt mit negl(n). Bsp: 1 2 n, 1 2, 1 n nlog log n sind vernachlässigbar. 1 2 O(log n) ist nicht vernachlässigbar. Es gilt q(n) negl(n) = negl(n) für jedes Polynom q(n). Definition Sicherheit Schlüsselaustausch Ein Schlüsselaustausch Protokoll Π ist sicher gegen passive Angriffe, falls für alle probabilistischen Polynomialzeit (ppt) Angreifer A gilt Ws[KE A,Π (n) = 1] negl(n). Der Wsraum ist definiert über die zufälligen Münzwürfe von A und Π. Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 12 / 174

13 dlog Problem Definition Diskrete Logarithmus (dlog) Annahme Das Diskrete Logarithmus Problem ist hart bezüglich G, falls für alle ppt Algorithmen A gilt Ws[A(g, q, g x ) = x] negl. Der Wsraum ist definiert bezüglich der zufälligen Wahl von x Z q und der internen Münzwürfe von A und G. dlog Annahme: Das dlog Problem ist hart bezüglich G. Unter der dlog Annahme können die geheimen Schlüssel x, y bei Diffie-Hellman nur mit vernachlässigbarer Ws berechnet werden. D.h. die dlog Annahme ist eine notwendige Sicherheitsannahme. Problem: Die Berechnung von g xy aus g x, g y könnte einfach sein. Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 13 / 174

14 CDH Problem Definition Computational Diffie-Hellman (CDH) Annahme Das Computational Diffie-Hellman Problem ist hart bezüglich G, falls für alle ppt Algorithmen A gilt Ws[A(g, q, g x, g y ) = g xy ] negl. Wsraum: zufällige Wahl von x, y R Z q, interne Münzwürfe von A, G. CDH Annahme: Das CDH Problem ist hart bezüglich G. Unter der CDH-Annahme kann ein DH-Angreifer Eve den Schlüssel k A = g xy nur mit vernachlässigbarer Ws berechnen. Problem: Sei CDH schwer, so dass Angreifer Eve k A nicht berechnen kann. Benötigen aber, dass k A ein zufälliges Gruppenelement in G ist. Unterscheiden von g xy und g z, z R Z q könnte einfach sein. Krypto II - Vorlesung 01 Schlüsselverteil-Center, Diffie-Hellman Schlüsselaustausch 14 / 174

15 DDH Problem Definition Decisional Diffie-Hellman (DDH) Annahme Das Decisional Diffie-Hellman Problem ist hart bezüglich G, falls für alle ppt Algorithmen A gilt Ws[A(g, q, g x, g y, g xy ) = 1] Ws[A(g, q, g x, g y, g z ) = 1] negl. Wsraum: zufällige Wahl von x, y, z R Z q, interne Münzwürfe von A, G. DDH Annahme: Das DDH Problem ist hart bezüglich G. Unter der DDH-Annahme kann Eve den DH-Schlüssel g xy nicht von einem zufälligen Gruppenelement unterscheiden. Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 15 / 174

16 Sicherheitsbeweis des DH-Protokolls Satz Sicherheit des Diffie-Hellman Protokolls Unter der DDH-Annahme ist das DH-Protokoll Π sicher gegen passive Angreifer A. Beweis: Es gilt Ws[KE A,Π (n) = 1] = 1 2 Ws[KE A,Π(n) = 1 b = 0] Ws[KE A,Π(n) = 1 b = 1] = 1 2 Ws[A(G, g, q, gx, g y, g xy ) = 0] Ws[A(G, g, q, gx, g y, g z ) = 1] = 1 2 (1 Ws[A(G, g, q, gx, g y, g xy ) = 1]) Ws[A(G, g, q, gx, g y, g z ) = 1] = (Ws[A(G, g, q, gx, g y, g z ) = 1] Ws[A(G, g, q, g x, g y, g xy ) = 1]) Ws[A(G, g, q, gx, g y, g xy ) = 1] Ws[A(G, g, q, g x, g y, g z ) = 1] negl(n) = 1 + negl(n) nach DDH-Annahme. 2 Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 16 / 174

17 Public-Key Verschlüsselung Szenario: Asymmetrische/Public Key Verschlüsselung Schlüsselpaar (pk, sk) aus öffentlichem/geheimem Schlüssel. Verschlüsselung Enc pk ist Funktion des öffentlichen Schlüssels. Entschlüsselung Dec sk ist Funktion des geheimen Schlüssels. pk kann veröffentlicht werden, z.b. auf Webseite, Visitenkarte. pk kann über öffentlichen (authentisierten) Kanal verschickt werden. Vorteile: Löst Schlüsselverteilungsproblem. Erfordert die sichere Speicherung eines einzigen Schlüssels. Nachteil: Heutzutage deutlich langsamer als sym. Verschlüsselung. Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 17 / 174

18 Public-Key Verschlüsselung Definition Public-Key Verschlüsselung Ein Public-Key Verschlüsselungsverfahren ist ein 3-Tupel Π = (Gen, Enc, Dec) von ppt Algorithmen mit 1 Gen: (pk, sk) Gen(1 n ), wobei pk der öffentliche und sk der geheime Schlüssel ist. Beide Schlüssel besitzen Länge mind. n. 2 Enc: Für eine Nachricht m M und Schlüssel pk berechne c Enc pk (m). 3 Dec: Für einen Chiffretext c C und Schlüssel sk berechne m := Dec sk (c). Es gilt Ws[Dec sk (Enc pk (m)) = m] = 1 negl(n). Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 18 / 174

19 Ununterscheidbarkeit von Chiffretexten Spiel CPA Ununterscheidbarkeit von Chiffretexten PubK cpa A,Π (n) Sei Π ein PK-Verschlüsselungsverfahren und A ein Angreifer. 1 (pk, sk) Gen(1 n ) 2 (m 0, m 1 ) A(pk) 3 Wähle b R {0, 1}. b A(Enc pk (m b )). { 4 PubK cpa A,Π (n) = 1 für b = b 0 sonst Man beachte, dass A Orakelzugriff auf Enc pk besitzt. D.h. A kann sich beliebig gewählte Klartexte verschlüsseln lassen. (chosen plaintext attack = CPA) Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 19 / 174

20 CPA-Spiel PubK cpa A,Π (n) (pk, sk) Gen(1 n ) b R {0, 1} c = Enc pk (m b ) Ausgabe: { 1 falls b = b = 0 sonst (1 n, pk) (m 0, m 1 ) c b A m 0, m 1 M b {0, 1} Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 20 / 174

21 CPA Sicherheit Definition CPA Sicherheit von Verschlüsselung Ein PK-Verschlüsselungsverfahren Π = (Gen, Enc, Dec) heißt CPA-sicher, d.h. Π besitzt ununterscheidbare Verschlüsselungen unter CPA, falls für alle ppt A gilt Ws[PubK cpa A,Π (n) = 1] negl(n). Übung: Unbeschränkte A können das Spiel PubK cpa A,Π (n) mit Ws 1 negl(n) gewinnen. Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 21 / 174

22 Unsicherheit deterministischer Verschlüsselung Satz Deterministische Verschlüsselung Deterministische PK-Verschlüsselung ist unsicher gegenüber CPA. Beweis: A kann sich Enc pk (m 0 ) und Enc pk (m 1 ) selbst berechnen. D.h. ein Angreifer A gewinnt PubK cpa A,Π (n) mit Ws 1. Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 22 / 174

23 Mehrfache Verschlüsselung Spiel Mehrfache Verschlüsselung PubK mult A,Π (n) Sei Π ein PK-Verschlüsselungsverfahren und A ein Angreifer. 1 (pk, sk) Gen(1 n ) 2 (M 0, M 1 ) A(pk), wobei M i = (mi 1,..., mt i ), i = 0, 1 und m j 0 = mj 1 für j [t]. 3 Wähle b R {0, 1}. b A(Enc pk (mb 1),..., Enc pk(mb t { )). 1 für b = b 4 PubK mult A,Π (n) = 0 sonst Definition CPA Sicherheit von mehrfacher Verschlüsselung Ein PK-Verschlüsselungsverfahren Π = (Gen, Enc, Dec) heißt mult-cpa sicher, d.h. besitzt ununterscheidbare mehrfache Verschlüsselungen unter CPA, falls für alle ppt A gilt Ws[PubK mult A,Π (n) = 1] negl(n). Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 23 / 174.

24 multcpa-spiel PubK mult cpa A,Π (n) (pk, sk) Gen(1 n ) b R {0, 1} ) c j = Enc pk (m j b C = (c 1,, c t ) Ausgabe: { 1 falls b = b = 0 sonst (1 n, pk) (M 0, M 1 ) C b A M i = (m 1 i,, mt i ), i = 0, 1 = j, m j i M m j 0 m j 1 b {0, 1} Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 24 / 174

25 Sicherheit mehrfacher Verschlüsselung Satz Sicherheit mehrfacher Verschlüsselung (analog zu Krypto I) Sei Π ein PK-Verschlüsselungsschema. Π ist mult-cpa sicher gdw Π CPA sicher ist. Beweis : Für t = 2. Ein Angreifer A gewinnt das Spiel PubKA,Π mult (n) mit Ws 1 2 Ws[A(Enc pk(m 1 0), Enc pk (m 2 0)) = 0] Ws[A(Enc pk(m 1 1), Enc pk (m 2 1)) = 1]. Daraus folgt Ws[PubK mult A,Π (n)] = 1 2 Ws[A(Enc pk(m0), 1 Enc pk (m0)) 2 = 0] Ws[A(Enc pk(m1), 1 Enc pk (m1)) 2 = 1] + 1 ( ) Ws[A(Enc pk (m0), 1 Enc pk (m1)) 2 = 0] + Ws[A(Enc pk (m0), 1 Enc pk (m1)) 2 = 1] 2 Ziel: Zeigen, dass Ws[PubK mult A,Π (n)] negl(n). Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 25 / 174

26 Betrachten der Hybride Lemma 1 2 Ws[A(Enc pk (m 1 0 ), Enc pk (m 2 0 )) = 0] Ws[A(Enc pk (m 1 0 ), Enc pk (m 2 1 )) = 1] negl(n). Beweis: Sei A Angreifer für einfache Verschlüsselungen. A versucht mittels A das Spiel PubK cpa A,Π(n) zu gewinnnen. Strategie von Angreifer A 1 A gibt pk an A weiter. 2 (M 0, M 1 ) A(pk) mit M 0 = (m 1 0, m2 0 ) und M 1 = (m 1 1, m2 1 ). 3 A gibt (m 2 0, m2 1 ) aus. A erhält Chiffretext c(b) = Enc pk (m 2 b ). 4 b A(Enc pk (m0 1 ), c(b)). 5 A gibt Bit b aus. Ws[A (Enc pk (m0 2)) = 0] = Ws[A((Enc pk(m0 1), Enc pk(m0 2 )) = 0] und Ws[A (Enc pk (m1 2)) = 1] = Ws[A((Enc pk(m0 1), Enc pk(m1 2 )) = 1]. Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 26 / 174

27 Strategie des Angreifers bei Hybriden PubK cpa A,Π (n) (pk, sk) Gen(1 n ) b R {0, 1} c = Enc pk ( m 2 b ) Ausgabe: { 1 falls b = b = 0 sonst (1 n, pk) (m 2 0, m 2 1) c b A c := Enc pk ( m 1 0 ) (1 n, pk) (M 0, M 1 ) (c, c) b A M 0 = (m 1 0, m 2 0) M 1 = (m 1 1, m 2 1) m j i M, i, j b {0, 1} Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 27 / 174

28 Fortsetzung Hybridtechnik Beweis(Fortsetzung): CPA Sicherheit von Π bei einzelnen Nachrichten impliziert 1 cpa + negl(n) Ws[PubK 2 A,Π(n) = 1] = 1 2 Ws[A (Enc pk (m 2 0 )) = 0] Ws[A (Enc pk (m 2 1 )) = 1 = 1 2 Ws[A((Enc pk(m0 1 ), Enc pk(m0 2 )) = 0] Ws[A((Enc pk(m 1 0 ), Enc pk(m 2 1 )) = 1] Lemma Analog kann gezeigt werden, dass negl(n) 1 2 Ws[A((Enc pk(m0 1 ), Enc pk(m1 2 )) = 0] Ws[A((Enc pk(m1 1 ), Enc pk(m1 2 )) = 1] Daraus folgt Ws[PubK mult A,Π (n)] negl(n). Satz für t = 2 Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 28 / 174

29 Von fester zu beliebiger Nachrichtenlänge Beweistechnik für allgemeines t: Definiere für i [t] Hybride C (i) = (Enc pk (m0 1),..., Enc pk(m0 i ), Enc pk(m i+1 1 ),..., Enc pk (m1 t )). Ws[PubKA,Π mult(n) = 1] = 1 2 Ws[A(C(t) ) = 0] Ws[A(C(0) = 1]. A unterscheidet Enc pk (m0 i ) und Enc pk(m1 i ) für zufälliges i [t]. Entspricht dem Unterscheiden von C (i) und C (i 1). Liefert Pr[PubK mult A,Π (n)] t negl(n) Satz. Von fester zu beliebiger Nachrichtenlänge Sei Π ein Verschlüsselungsverfahren mit Klartexten aus {0, 1} n. Splitte m {0, 1} auf in m 1,... m t mit m i {0, 1} n. Definiere Π mittels Enc pk (m) = Enc pk(m 1 )... Enc pk (m t ). Aus vorigem Satz folgt: Π ist CPA-sicher, falls Π CPA-sicher ist. Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 29 / 174

30 Hybride Verschlüsselungsverfahren Ziel: Flexibilität von asym. Verfahren und Effizienz von sym. Verfahren. Szenario: Sei Π = (Gen, Enc, Dec) ein PK-Verschlüsselungsverfahren und Π = (Gen, Enc, Dec ) ein SK-Verschlüsselungsverfahren. Berechne (pk, sk) Gen(1 n ). Algorithmus Hybride Verschlüsselung Eingabe: m, pk 1 Wähle k R {0, 1} n. 2 Verschlüssele c 1 Enc pk (k) mit asym. Verschlüsselung. 3 Verschlüssele c 2 Enc k (m) mit sym. Verschlüsselung. Ausgabe: Chiffretext c = (c 1, c 2 ) Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 30 / 174

31 Hybride Entschlüsselung Algorithmus Hybride Entschlüsselung Eingabe: c = (c 1, c 2 ), sk 1 Entschlüssele k Dec sk (c 1 ). 2 Entschlüssele m Dec k (c 2). Ausgabe: Klartext m Effizienzgewinn für m n, sofern Π effizienter ist als Π. Frage: Ist hybride Verschlüsselung sicher, falls Π, Π sicher? Krypto II - Vorlesung 02 Sicherheit von Diffie-Hellman, Verschlüsselung, CPA Sicherheit 31 / 174

32 Sicherheit von hybrider Verschlüsselung Satz Sicherheit hybrider Verschlüsselung Sei Π ein CPA-sicheres PK-Verschlüsselungsverfahren und Π ein KPA-sicheres SK-Verschlüsselungsverfahren. Dann ist das hybride Verfahren Π hy CPA-sicher. Beweisskizze: Notation X Y : Kein ppt Angreifer kann X und Y unterscheiden. Sicherheit von Π : Enc k (m 0 ) Enc k (m 1 ) für k R {0, 1} n. Sicherheit von Π hy : Müssen zeigen dass (Enc pk (k), Enc k (m 0)) (Enc pk (k), Enc k (m 1)). Problem: Erstes Argument könnte beim Unterscheiden des zweiten Arguments helfen. Krypto II - Vorlesung 03 Hybride Verschlüsselung, Textbook RSA 32 / 174

33 Beweis Sicherheit hybrider Verschlüsselung Beweisskizze: Zeigen die folgenden 3 Schritte 1 Sicherheit von Π liefert (Enc pk (k), Enc k (m 0)) (Enc pk (0 n ), Enc k (m 0)). Gilt sogar falls A die Werte k, 0 n kennt. Dass das zweite Argument k beinhaltet ist daher kein Problem. 2 Sicherheit von Π liefert (Enc pk (0 n ), Enc k (m 0)) (Enc pk (0 n ), Enc k (m 1)). Kein Problem mehr, da 2. Argument nicht vom ersten abhängt. 3 Sicherheit von Π liefert (Enc pk (0 n ), Enc k (m 1)) (Enc pk (k), Enc k (m 1)). Transititivität der 3 Ergebnisse liefert schließlich wie gewünscht (Enc pk (k), Enc k (m 0)) (Enc pk (k), Enc k (m 1)). Krypto II - Vorlesung 03 Hybride Verschlüsselung, Textbook RSA 33 / 174

34 Textbook RSA Algorithmus Schlüsselerzeugung GenRSA Eingabe: 1 n 1 (N, p, q) GenModulus(1 n ) mit primen n-bit p, q und N = pq. 2 φ(n) (p 1)(q 1) 3 Wähle e Z φ(n). 4 Berechne d e 1 mod φ(n). Ausgabe: (N, e, d) mit pk = (N, e) und sk = (N, d). Definition Textbook RSA Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (N, e, d) GenRSA(1 n ) 2 Enc : c m e mod N für eine Nachricht m Z N. 3 Dec : m c d mod N Krypto II - Vorlesung 03 Hybride Verschlüsselung, Textbook RSA 34 / 174

35 RSA Problem und Sicherheit von RSA Definition RSA Problem Das RSA Problem ist hart bezüglich GenRSA(1 n ), falls für alle ppt Algorithmen A gilt Ws[A(N, e, m e mod N) = m] negl(n). Wsraum: Wahl m R Z N und interne Münzwürfe von A, GenRSA. RSA Annahme: Das RSA Problem ist hart bezüglich GenRSA. Anmerkungen: Falls N effizient faktorisiert werden kann, ist das RSA Problem nicht hart. (Warum?) Berechnen von d ist so schwer wie Faktorisieren von N. Offenes Problem: Impliziert eine Lösung des RSA Problem eine Lösung des Faktorisierungsproblems? Enc ist deterministisch, d.h. Textbook RSA ist nicht CPA-sicher. Unter der RSA-Annahme: Kein ppt Angreifer kann für zufällige m Z N aus (N, e, me mod N) die ganze Nachricht m berechnen. Krypto II - Vorlesung 03 Hybride Verschlüsselung, Textbook RSA 35 / 174

36 Angriffe auf Textbook RSA Verschlüsseln von kurzen Nachrichten mit kleinem e Sei m < N 1 e. Dann gilt c = m e < N. D.h. c 1 e über Z liefert m. Realistisch bei hybrider Verschlüsselung: N 1024-Bit und e = 3, m ist 128-Bit Schlüssel für symmetrische Verschlüsselung. Hastad Angriff auf RSA Szenario: Verschlüsselung desselben m unter verschiedenen pk. Sei pk 1 = (N 1, 3), pk 2 = (N 2, 3), pk 3 = (N 3, 3). Angreifer erhält c 1 = m 3 mod N 1, c 2 = m 3 mod N 2 und c 3 = m 3 mod N 3. Berechne mittels Chinesischem Restsatz eind. c Z N1 N 2 N 3 mit c = c 1 mod N 1 c = c 2 mod N 2 c = c 3 mod N 3. Es gilt c = m 3 < (min{n 1, N 2, N 3 }) 3 < N 1 N 2 N 3, d.h. m = c 1 3. Krypto II - Vorlesung 03 Hybride Verschlüsselung, Textbook RSA 36 / 174

37 Padded RSA Definition Padded RSA Verschlüsselungsverfahren Sei n ein Sicherheitsparameter und l eine Fkt. mit l(n) 2n 2. 1 Gen : (N, e, d) GenRSA(1 n ) 2 Enc : Für m {0, 1} l(n) und r R {0, 1} N l(n) 1 berechne c (r m) e mod N. 3 Dec : r m := c d mod N. Gib die untersten l(n) Bits aus. Anmerkungen Für l(n) = 2n O(log n) kann r in polyn. Zeit geraten werden. Für l(n) = cn, konstantes c < 2, ist kein CPA Angriff bekannt. Für l(n) = O(log n) kann CPA-Sicherheit gezeigt werden. Weitverbreitete standardisierte Variante von Padded RSA: PKCS #1 version 1.5 mit c := ( r 0 8 m) e mod N. Krypto II - Vorlesung 03 Hybride Verschlüsselung, Textbook RSA 37 / 174

38 Einfache symmetrische Verschlüsselung Algorithmus ONE-TIME GRUPPENELEMENT Sei n ein Sicherheitsparameter. 1 Gen: Schlüsselerzeugung (G, g) G(1 n ), wobei G eine Gruppe und g R G ein zufälliger gemeinsamer geheimer Schlüssel ist. 2 Enc: Verschlüssele m G als c m g. 3 Dec: Entschlüssele c G als m := c g 1. Anmerkung: Das One-Time Pad erhalten wir als Spezialfall mit (G, ) = (F n 2, +). Krypto II - Vorlesung 03 Hybride Verschlüsselung, Textbook RSA 38 / 174

39 Perfekte Sicherheit von ONE-TIME ELEMENT Satz Perfekte Sicherheit von ONE-TIME ELEMENT (Krypto I) ONE-TIME ELEMENT Π ist eine perfekt sichere symmetrisches Verschlüsselung, d.h. für alle Angreifer A gilt Ws[PrivK A,Π (n) = 1] = 1 2. Beweis: Klartext-, Chiffretext und Schlüsselraum sind identisch M = C = K = G. Jeder Schlüssel g G wird gleichverteilt mit Ws 1 G gewählt. Für jedes m, c G existiert genau ein Schlüssel g = c m 1 mit c = Enc g (m). Nach dem Satz von Shannon ist Π damit perfekt sicher. D.h. Ws[PrivK A,Π (n) = 1] = 1 2. Anmerkungen: Geheimer Schlüssel sk = g muss stets neu gewählt werden. Idee für PK-Verfahren: Ersetze das zufällige g durch ein stets neu gewähltes pseudozufälliges Gruppenelement. Krypto II - Vorlesung 03 Hybride Verschlüsselung, Textbook RSA 39 / 174

40 ElGamal Verschlüsselungsverfahren (1984) Definition ElGamal Verschlüsselungsverfahren Sei n ein Sicherheitsparameter. 1 Gen : (q, g) G(1 n ), wobei g eine Gruppe G der Ordnung q generiert. Wähle x R Z q und berechne h g x. Schlüssel: pk = (q, g, h), sk = (q, g, x) 2 Enc : Für eine Nachricht m G wähle ein y R Z q und berechne c (g y, h y m). 3 Dec : Für einen Chiffretext c = (c 1, c 2 ) berechne m := c 2 c. 1 x Korrektheit: c 2 c x 1 = hy m (g y ) x = (gx ) y m g xy = m. c 2 ist ein Analog von Enc bei ONE-TIME GRUPPENELEMENT mit einem DH-Schlüssel g xy als pseudozufälligem Gruppenelement. Anmerkung: Parameter q, g können global für alle Teilnehmer gewählt werden. Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 40 / 174

41 Sicherheit von ElGamal Satz CPA-Sicherheit ElGamal ElGamal Π ist CPA-sicher unter der DDH-Annahme. Beweis: Sei A ein Angreifer auf ElGamal Π mit Erfolgsws ɛ(n) := Ws[PubK cpa A,Π (n) = 1]. Wir konstruieren mittels A einen Unterscheider D zum Unterscheiden von DDH-Instanzen (q, g, g x, g y, g ) mit g = g xy oder g = g z. Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 41 / 174

42 Unterscheider für DDH durch A Algorithmus DDH-Unterscheider D EINGABE: (q, g, g x, g y, g ) 1 Setze pk = (G, q, g, g x ). 2 (m 0, m 1 ) A(pk). 3 Wähle b R {0, 1} und berechne b A(g y, g m b ). 4 Falls b = b Ausgabe 1, sonst Ausgabe 0. { 1 wird interpretiert als g = g xy AUSGABE: 0 wird interpretiert als g = g z. Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 42 / 174

43 DDH-Unterscheider mit Angreifer A Unterscheider D A (1 n, q, g, g x, g y, g ) pk = (q, g, g x ) b R {0, 1} c = (g y, g m b ) (1 n, pk) (m 0, m 1 ) c m 0, m 1 M 1 bedeutet g = g xy 0 bedeutet g = g z Ausgabe: { 1 falls b = b 0 sonst b b {0, 1} Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 43 / 174

44 Fall DDH-Tupel Fall 1: DDH-Tupel, d.h. g = g xy. c = (g y, g xy m b ) ist identisch zu ElGamal-Chiffretexten verteilt. D.h. Ws[D(q, g, g x, g y, g xy ) = 1] = Ws[PubK A,Π (n) = 1] = ɛ(n). Fall 2: kein DDH-Tupel, d.h. g = g z für z R Z q. Chiffretext c = (c 1, c 2 ) ist von der Form (g y, g z m b ). c 2 ist identisch verteilt zu ONE TIME ELEMENT. Die erste Komponente c 1 ist unabhängig von c 2, d.h. Ws[PrivK A,Π (n) = 1] = 1 2. Es folgt Ws[D(G, q, g, g x, g y, g z ) = 1] = Ws[PubK A,Π (n) = 1] = 1 2. Aus der DDH-Annahme folgt negl(n) Ws[D(G, q, g, g x, g y, g z ) = 1] Ws[D(G, q, g, g x, g y, g xy ) = 1] = 1 2 ɛ(n). Damit gilt ɛ(n) negl(n). Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 44 / 174

45 Parameterwahl bei ElGamal Einbetten von Nachrichten m {0, 1} Beliebte Parameterwahl: Z p, p = 2q + 1 mit p, q prim. D.h. p ist eine sogenannte starke Primzahl. Ziel: Konstruktion einer Untergruppe G mit Ordnung q. Quadrieren Z p Z p, x x 2 ist eine (2 : 1)-Abbildung. Urbilder x, p x kollidieren, genau eines ist in [ p 1 2 ] = [q]. Wir bezeichnen den Bildraum mit QR p. QR p ist Untergruppe von Z p mit Ordnung q. Wählen g als Generator von QR p. Sei q = n. Interpretieren m {0, 1} n 1 als natürliche Zahl kleiner q. Es gilt m + 1 [q]. Einbettung von m ist m = (m + 1) 2 mod p. Umkehren der Einbettung ist effizient berechenbar. Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 45 / 174

46 CPA-Sicherheit ist ungenügend Definition CCA (informal) CCA (=Chosen Ciphertext Attack) ist ein Angriff, bei dem der Angreifer sich Chiffretext seiner Wahl entschlüsseln lassen kann. Beispiele in denen CPA-Sicherheit nicht genügt: Eve fängt verschlüsselte c = Enc(m) an Bob ab. Eve verschickt c selbst an Bob. Bob antwortet Eve und hängt dabei m an die Antwort an. D.h. Bob fungiert als Entschlüsselungsorakel. Alice und Eve nehmen als Bieter an einer Auktion von Bob teil. Alice sendet ihr Gebot c = Enc(m) verschlüsselt an Bob. Enc soll CPA-sicher sein, d.h. Eve erhält keine Information über m. Frage: Ist es Eve möglich, c = Enc(2m) aus c zu berechnen, ohne m zu kennen, und damit Alice zu überbieten? (Malleability) Es gilt: CCA-Sicherheit impliziert Non-Malleability. (ohne Beweis) Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 46 / 174

47 CCA Ununterscheidbarkeit Spiel CCA Ununterscheidbarkeit von Chiffretexten PubK cca A,Π (n) Sei Π ein PK-Verschlüsselungsverfahren mit Angreifer A. 1 (pk, sk) Gen(1 n ) 2 (m 0, m 1 ) A Dec sk ( ) (pk), wobei Dec sk ( ) ein Entschlüsselungsorakel für A für beliebige Chiffretexte ist. 3 Wähle b R {0, 1}. Verschlüssele c Enc pk (m b ). 4 b A Dec sk ( ) (c), wobei A beliebige Chiffretexte c c durch das Orakel Dec sk ( ) entschlüsseln lassen darf. { 5 PubKA,Π cca 1 für b = b 0 sonst Anmerkungen: Zusätzlich zum Verschlüsselungs-Orakel bei CPA besitzt A bei CCA ein weiteres Entschlüsselungs-Orakel Dec sk ( ). Falls A in Schritt 4 auch c entschlüsseln darf, ist das Spiel trivial. Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 47 / 174

48 PubK cca A,Π (n) (pk, sk) Gen(1 n ) m 1 = Dec sk (c 1) m i = Dec sk(c i ) b R {0, 1} c = Enc pk (m b ) m i+1 = Dec sk(c i+1 ) m q = Dec sk (c q) Ausgabe: { 1 falls b = b = 0 sonst (1 n, pk) c 1 m 1. c i m i (m 0, m 1 ) c c i+1 m i+1. c q m q b A c 1 C c i C, i q m 0, m 1 M c i+1 C\{c} c q C\{c} b {0, 1} Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 48 / 174

49 CCA-Sicherheit Definition CCA-Sicherheit Ein Verschlüsselungsverfahren Π heißt CCA-sicher (bzw. besitzt ununterscheidbare Chiffretexte unter CCA), falls für alle ppt Angreifer A gilt Ws[PubK cca A,Π (n) = 1] negl(n). Anmerkungen: Erstes effizientes CCA-sicheres Verfahren Cramer-Shoup (1998). Cramer-Shoup ist CCA-sicher unter der DDH-Annahme. Chiffretexte sind doppelt so lang wie bei ElGamal. Sicherheitsbeweis von Cramer-Shoup ist nicht-trivial. Später in der Vorlesung: CCA-sichere Verfahren im sogenannten Random Oracle Modell. Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 49 / 174

50 CCA Angriff und Malleability von Textbuch RSA CCA Angriff auf Textbuch RSA Wollen c = m e mod N entschlüsseln. Man beachte: c darf nicht direkt angefragt werden. Berechne c = c r e = (mr) e mod N für r Z N \ {1}. Berechne mr Dec sk (c ) mittels Entschlüsselungs-Orakel. Berechne mr r 1 = m mod N. Malleability von Textbuch RSA Voriger Angriff zeigt: Für c = m e mod N kann die Verschlüsselung von mr berechnet werden, ohne m selbst zu kennen. D.h. Textbuch RSA ist malleable. Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 50 / 174

51 CCA Angriff und Malleability von ElGamal Praktischer CCA-Angriff auf Padded RSA Variante PKCS #1 v1.5 Bleichenbacher Angriff: Sende adaptiv Chiffretexte an Server. Falls die Entschlüsselung nicht das korrekte Format besitzt, sendet der Server eine Fehlermeldung zurück. Genügt, um einen beliebigen Chiffretext c zu entschlüsseln. CCA Angriff auf ElGamal Ziel: Entschlüssele c = (g y, g xy m). Lasse c = (g y, g xy m r) für r G \ {1} entschlüsseln. Berechne mr r 1 = m. ElGamal ist malleable, da c korrekte Verschlüsselung von mr. Krypto II - Vorlesung 04 ElGamal, CPA-Sicherheit unter DDH, CCA Angriffe, Malleability 51 / 174

52 Einwegfunktionen Ziel: CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später: CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm. Spiel Invertieren Invert A,f (n) Sei f : {0, 1} {0, 1} effizient berechenbar, A ein Invertierer für f. 1 Wähle x R {0, 1} n. Berechne y f (x). 2 x A(1 n, y) 3 Invert A,f (n) = { 1 falls f (x ) = y 0 sonst. Definition Einwegfunktion Eine Funktion f : {0, 1} {0, 1} heißt Einwegfunktion, falls 1 Es existiert ein deterministischer pt Alg B mit f (x) B(x). 2 Für alle ppt Algorithmen A gilt Ws[Invert A,f (n) = 1] negl(n). Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 52 / 174

53 Spiel Invertieren Invert A,f (n) Wähle: x R {0, 1} n Berechne: y f(x) (1 n, y) Ausgabe: { 1 falls f(x ) = y 0 sonst x A Berechne: x {0, 1} n Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 53 / 174

54 Die Faktorisierungsannahme Problem: Existenz von Einwegfunktionen ist ein offenes Problem. Konstruktion unter Komplexitätsannahme (z.b. Faktorisierung) Verwenden dazu (N, p, q) GenModulus(1 n ) von RSA. Spiel Faktorisierungsspiel Factor A,GenModulus (n) 1 (N, p, q) GenModulus(1 n ) 2 (p, q ) A(N) mit p, q > 1. { 1 falls p q = N 3 Factor A,GenModulus (n) =. 0 sonst Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 54 / 174

55 Spiel Faktorisieren Factor A,GenModulus (n) (N, p, q) GenModulus(1 n ) Ausgabe: { 1 falls p q = N 0 sonst (1 n, N) (p, q ) A Berechne: p, q > 1 Definition Faktorisierungsannahme Faktorisieren ist hart bezüglich GenModulus falls für alle ppt Algorithmen A gilt Ws[Factor A,GenModulus (n) = 1] negl(n). Faktorisierungsannahme: Faktorisieren ist hart bezüglich GenModulus. Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 55 / 174

56 Konstruktion aus Faktorisierungsannahme Sei p(n) ein Polynom, so dass GenModulus(1 n ) höchstens p(n) Zufallsbits verwendet. OBdA sei p(n) : N N monoton wachsend. Algorithmus FACTOR-ONEWAY f FO Eingabe: x {0, 1} 1 Berechne n mit p(n) x < p(n + 1). 2 (N, p, q) := GenModulus(1 n, x), wobei GenModulus die Eingabe x als internen Zufallsstring verwendet. Ausgabe: N Bemerkung: GenModulus(1 n, x) ist deterministisch. (Derandomisierung) Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 56 / 174

57 Existenz von Einwegfunktionen Satz Einweg-Eigenschaft von f FO Unter der Faktorisierungsannahme ist f FO eine Einwegfunktion. Beweis: Sei A ein Invertierer für f FO mit Erfolgsws ɛ(n). Konstruieren mit A Faktorisierer A im Spiel Factor A,GenModulus(n). Algorithmus Faktorisierer A EINGABE: 1 n, N 1 x A(1 n, N). 2 (N, p, q ) GenModulus(1 n, x ). AUSGABE: p, q Unter der Faktorisierungsannahme gilt negl(n) Ws[Factor A,GenModulus(n) = 1] = Ws[Invert A,fFO (n) = 1] = ɛ(n). Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 57 / 174

58 Faktorisieren mit Invertierer für f FO Factor A,GenModulus (N, p, q) GenModu lus(1 n ) (1 n, N) Faktorisierer A (1 n, N) A Ausgabe: { 1 falls N = p q = 0 sonst p, q (N, p, q ) := GenModulus(1 n, x ) x Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 58 / 174

59 Trapdoor-Permutationsfamilie Definition Permutationsfamilie Eine Permutationsfamilie Π f = (Gen, Samp, f ) besteht aus 3 ppt Alg: 1 I Gen(1 n ), wobei I eine Urbildmenge D für f definiert. 2 x Samp(I), wobei x R D. 3 y := f I (x) und f : D D ist bijektiv. Definition Trapdoor-Permutationsfamilie Trapdoor-Permutationsfamilie Π f = (Gen, Samp, f, Inv) besteht aus 1 (I, td) Gen(1 n ) mit td als Trapdoor-Information. 2 x Samp(I) wie zuvor. 3 y := f I (x) wie zuvor. 4 x Inv td (y) mit Inv td (f I (x)) = x für alle x D. Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 59 / 174

60 Spiel Invertieren einer Permutation Invert A,Πf (n) Sei A ein Invertierer für die Familie Π f. 1 I Gen(1 n ), x Samp(I) und y f (I, x). 2 x A(I, y). 3 Invert A,Π (n) = { 1 falls f (x ) = y 0 sonst. Invert A,Πf (n) I Gen(1 n ) x Samp(I) y f I (x) Ausgabe: { 1 falls f(x ) = y 0 sonst (1 n, I, y) x A Berechne x. Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 60 / 174

61 Konstruktion einer Trapdoor-Einwegpermutation Definition Einweg-Permutation Eine (Trapdoor-)Permutationsfamilie heißt (Td-)Einwegpermutation falls für alle ppt Algorithmen A gilt Ws[Invert A,Πf (n) = 1] negl(n). Bsp: Trapdoor-Einwegpermutation unter RSA-Annahme Gen(1 n ): (N, e, d) GenRSA(1 n ), Ausgabe I = (N, e) und td = (N, d). Samp(I): Wähle x R Z N. f I (x): Berechne y := x e mod N. Inv td (y): Berechne x := y d mod N. Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 61 / 174

62 Hardcore-Prädikat Ziel: Destilliere Komplexität des Invertierens auf ein Bit. Definition Hardcore-Prädikat Sei Π f eine Einwegpermutation. Sei hc ein deterministischer pt Alg mit Ausgabe eines Bits hc(x) bei Eingabe x D. hc heißt Hardcore-Prädikat für f falls für alle ppt Algorithmen A gilt: Ws[A(1 n, I, f (x)) = hc(x)]] negl(n). Intuition: Bild f (x) hilft nicht beim Berechnen von hc(x). Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 62 / 174

63 Spiel zum Berechnen des Hardcore-Prädikats CompHC A,Πf (n) I Gen(1 n ) x Samp(I) y f I (x) Ausgabe: { 1 falls hc(x) = hc(x) 0 sonst (1 n, I, y) hc(x) A Berechne hc(x). Falls hc ein Hardcoreprädikat ist, so gilt für alle ppt A Ws[CompHC A,Πf (n) = 1] = Ws[A(1 n, I, f (x)) = hc(x)]] negl(n). Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 63 / 174

64 Goldreich-Levin Hardcore-Prädikat Satz von Goldreich-Levin Sei Π f eine Einwegpermutation. Dann existiert eine Einwegpermutation Π g mit Hardcoreprädikat hc. Konstruktion: (ohne Beweis) Sei f eine Einwegpermutation mit Definitionsbereich {0, 1} n. Sei x = x 1... x n {0, 1} n. Konstruiere g(x, r) := (f (x), r) mit r R {0, 1} n. Offenbar ist g ebenfalls eine Einwegpermutation. Wir konstruieren ein Hardcore-Prädikat hc für g mittels hc(x, r) = x, r = n i=1 x ir i mod 2. Beweis der Hardcore-Eigenschaft ist nicht-trivial. Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 64 / 174

65 Verschlüsselung aus Trapdoor-Einwegpermutation Algorithmus Π cpa Sei Π f eine Td-Einwegpermutation mit Hardcore-Prädikat hc. 1 Gen: (I, td) Gen(1 n ). Ausgabe pk = I und sk = td. 2 Enc: Für m {0, 1} setze x Sample(I) und berechne c (f (x), hc(x) m). 3 Dec: Für Chiffretext c = (c 1, c 2 ) berechne x := Inv td (c 1 ) und m := c 2 hc(x). Intuition: hc(x) ist pseudozufällig gegeben f (x). D.h. hc(x) m ist ununterscheidbar von 1-Bit One-Time Pad. Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 65 / 174

66 Bsp: Verschlüsselung mit RSA-Td-Einwegpermutation Algorithmus Π rsa cpa Sei Π rsa die RSA Td-Einwegpermutation mit Hardcore-Prädikat hc. 1 Gen: (N, e, d) GenRSA(1 n ). Ausgabe pk = (N, e) und sk = (N, d). 2 Enc: Für m {0, 1} wähle r R Z N und berechne c (r e mod N, hc(r) m). 3 Dec: Für Chiffretext c = (c 1, c 2 ) berechne r := c1 d mod N und m c 2 hc(r). Krypto II - Vorlesung 05 Konstruktion einer Einwegfunktion, Trapdoor-Permutation, Hardcore-Prädikat 66 / 174

67 CPA-Sicherheit unserer Konstruktion Satz CPA-Sicherheit von Π cpa Sei Π f eine Trapdoor-Einwegpermutation mit Hardcore-Prädikat hc. Dann ist Π cpa CPA-sicher. Beweis: Sei A ein Angreifer mit Erfolgsws ɛ(n) = Ws[PubK cpa A,Π f (n) = 1]. OBdA (m 0, m 1 ) A(pk) mit {m 0, m 1 } = {0, 1}. (Warum?) Verwenden A, um A im Spiel CompHC A,Π f (n) zu konstruieren. Algorithmus Angreifer A Eingabe: 1 n, I, y = f (x) D 1 Setze pk I und berechne (m 0, m 1 ) A(pk). 2 Wähle b, z R {0, 1}. Setze c 2 m b z. 3 b A(y, c 2 ) Ausgabe: hc(x) = { z falls b = b. z sonst Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 67 / 174

68 Angreifer A für das Hardcore-Prädikat CompHC A,Πf (n) I Gen(1 n ) x Samp(I) y f I (x) Ausgabe: { 1 hc(x) = hc(x) 0 sonst (1 n, I, y) hc(x) A pk = I (1 n, pk) b, z R {0, 1} (m 0, m 1 ) c 2 = (m b z) (y, c 2 ) Ausgabe: { hc(x) z if b = b = z else b A Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 68 / 174

69 CPA-Sicherheit von Π cpa Beweis: Fortsetzung Sei x = f 1 (y). A hc rät z = hc(x). Es gilt Ws[A hc (f (x)) = hc(x)] = 1 2 Ws[b = b z = hc(x)] Ws[b b z hc(x)]. 1. Fall z = hc(x): (y, c 2 ) ist korrekte Verschlüsselung von m b, d.h. 2. Fall z hc(x): Es gilt Ws[b = b z = hc(x)] = ɛ(n). (y, c 2 ) = (f (x), z m b ) = (f (x), z 1 m b 1) = (f (x), hc(x) m b 1). D.h. (y, c 2 ) ist korrekte Verschlüsselung von m b 1 = m 1 b. Ws[b b z hc(x)] = Ws[1 b = b z 1 = hc(x)] = ɛ(n). Da hc ein Hardcore-Prädikat ist, folgt negl(n) Ws[A hc(f (x)) = hc(x)] = ɛ(n). Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 69 / 174

70 Random Oracle Definition Random Oracle Sei F n,l die Menge aller Funktionen {0, 1} n {0, 1} l(n). Ein Random Oracle ist eine zufällige Funktion H R F n,l. Wir besitzen keine Beschreibung von H. Bei Anfrage x liefert das Random Oracle H(x). Anmerkung: Bildliche Darstellung Ein Random Oracle H ist eine Funktion in einer schwarzen Box. H ist beobachtbar über das Eingabe/Ausgabe-Verhalten der Box. Alternative Beschreibung eines Random Oracles Oracle erhält Anfragen x 1,..., x q. Falls x i x j für alle j < i, gib y i R {0, 1} l(n) aus. Falls x i = x j für ein j < i, gib y j aus. D.h. wir können uns vorstellen, dass das Orakel die Antworten auf Anfragen bei Bedarf erzeugt und konsistent beantwortet. Damit können Random Oracle durch ppt Alg. simuliert werden. Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 70 / 174

71 Random Oracles liefern Einwegfunktionen Satz Für polynomielles l(n) sind Random Oracles H Einwegfunktionen. Beweis: Sei x R {0, 1} n und y = H(x). Wollen ein Urbild von y ermitteln. Jeder Angreifer A stellt obda verschiedene Anfragen x 1,..., x q. (Warum sollte jeder Angreifer so verfahren?) A gewinnt offenbar falls x i = x für ein i [q]. Es gilt Ws[x i = x für ein i] = q i=1 Ws[x i = x] = q 2. n A gewinnt ebenfalls für H(x i ) = y für mindestens ein i [q], d.h. Ws[H(x i ) = y für mindestens ein i] q i=1 Ws[H(x i) = y] = q. 2 l(n) Damit gilt Ws[Invert A,H (n) = 1] q 2 + n q 2 l(n). Für polynomielles q, l(n) ist dies vernachlässigbar in n. Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 71 / 174

72 Random Oracle und kollisionsresistentes Hashen Satz Für polynomielles l(n) sind Random Oracles kollisionsresistent. Beweis: Jeder Angreifer A stellt obda verschiedene Anfragen x 1,..., x q. A gewinnt mit Ws[H(x i ) = H(x j ) für ein i j] i j Ws[H(x i) = H(x j )] = (q 2) q2. 2 l(n) 2 l(n) Dies ist vernachlässigbar für polynomielles q, l(n). Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 72 / 174

73 Random Oracle Methode Definition Random Oracle Modell / Methode Das Random Oracle Modell (ROM) nimmt die Existenz von Random Oracles an. Die Random Oracle Methode besteht aus 2 Schritten: 1 Konstruiere ein Verfahren Π mit Hilfe eines Random Oracles H und beweise die Sicherheit von Π im ROM. 2 Instantiiere Π mit einer kryptographischen Hashfunktion H anstelle von H, z.b. mit SHA-1. Negativ: Beschreibung von H spezifiziert H (x) für alle x. Es existieren künstliche Kryptosysteme, die sicher im Random Oracle Modell aber unsicher für jede Instantiierung von H sind. Positiv: Ein Beweis im ROM ist besser als kein Beweis. Erfolgreicher Angriff muss die Instantiierung von H attackieren. H kann leicht durch eine andere Hashfunktion ersetzt werden. Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 73 / 174

74 CPA-sicheres effizientes RSA im ROM Verschlüsselung ROM-RSA Sei H : Z N {0, 1}l(n) ein Random Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e), sk = (N, d). 2 Enc: Für m {0, 1} l(n), wähle r R Z N. Berechne c (r e mod N, H(r) m). 3 Dec: Für c = (c 1, c 2 ) berechne r := c1 d mod N und m := H(r) c 2. Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 74 / 174

75 Sicherheit von RSA im Random Oracle Modell Satz CPA-Sicherheit von ROM-RSA Unter der RSA-Annahme und für ein Random Oracle H ist ROM-RSA Π CPA-sicher. Beweis: Sei A ein Angreifer mit Erfolgws ɛ(n) = Ws[PubK cpa A,Π (n) = 1]. A darf Orakelanfragen an H stellen, sowohl vor Ausgabe von (m 0, m 1 ) als auch nach Erhalt von Enc(m b ). Definiere Query : Ereignis A stellt Anfrage r = c1 d mod N an H. ɛ(n) = Ws[Query] Ws[PubK cpa A,Π (n) = 1 Query] + Ws[Query] Ws[PubK cpa A,Π (n) = 1 Query] Ws[PubK cpa A,Π (n) = 1 Query] + Ws[Query]. Zeigen Ws[PubK cpa A,Π (n) = 1 Query] = 1 2 und Ws[Query] negl(n). Daraus folgt ɛ(n) negl(n). Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 75 / 174

76 Beweis der CPA-Sicherheit von ROM-RSA (1/3) Beweis: Falls r nicht an H angefragt wird, ist H(r) m nach Eigenschaft des Random Oracles ein perfektes One-Time Pad für m. Daraus folgt Ws[PubK cpa A,Π (n) = 1 Query] = 1 2. Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 76 / 174

77 Beweis der CPA-Sicherheit von ROM-RSA (2/3) Beweis: Ws[Query] negl(n) Idee: Verwende Anfragen von A, um e-te Wurzeln zu berechnen. Algorithmus RSA-Invertierer A EINGABE: N, e, c 1 = r e mod N 1 Wähle k R {0, 1} l(n). (Wir setzen H(r) = k, ohne r zu kennen.) 2 (m 0, m 1 ) A(N, e), beantworte { Orakelanfragen r i an H( ) k i = k für ri e = c 1 mod N konsistent mit k i R {0, 1} l(n). sonst 3 Berechne c (c 1, k m b ) für ein b R {0, 1}. 4 b A(c), beantworte Anfragen von A an H( ) wie zuvor. 5 Falls r e i = c 1 mod N für eine der Orakelanfragen, setze r r i. AUSGABE: r Es gilt Ws[Query] = Ws[A (N, e, r e ) = r] negl(n). Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 77 / 174

78 Beweis der CPA-Sicherheit von ROM-RSA (3/3) A Invert A,Π RSA (n) (1 n, N, e, c 1 ) pk = (N, e) k i, k R {0, 1} n (N, e, d) GenRSA(1 n ) { r R Z k if ri e N H(r i ) = 1 c 1 = r e mod N k i sonst Ausgabe: { 1 (r ) e = c 1 0 sonst r c 2 := k m b für { b R {0, 1} r r i if ri e = = c 1 sonst (1 n, pk) r i H(r i ) (m 0, m 1 ) (c 1, c 2 ) b A Krypto II - Vorlesung 06 CPA-sichere Verschlüsselung, Random Oracle Modell, ROM-RSA 78 / 174

79 Sicherheit gegenüber CCA Idee: Ersetze One-Time Pad durch CCA-sicheres Secret Key Verfahren. Erinnerung Krypto I: Konstruktion von CPA-sicherem Secret Key Verfahren mittels Pseudozufallsfunktion (und MAC) möglich. Verschlüsselung ROM-RSA-2 Sei H : Z N {0, 1}l(n) ein Random Oracle, Π = (Gen, Enc, Dec ) ein CPA-sicheres Secret Key Verschlüsselungsverfahren. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e), sk = (N, d). 2 Enc: Für m {0, 1} l(n), wähle r R Z N. Berechne k = H(r) und c (r e mod N, Enc k (m)). 3 Dec: Für c = (c 1, c 2 ) berechne r c d 1 mod N, k H(r) und m Dec k (c 2). Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 79 / 174

80 Sicherheit von ROM-RSA-2 Satz Sicherheit von ROM-RSA-2 Unter der RSA-Annahme, für ein Random Oracle H und ein CPA-sicheres Π liefert ROM-RSA-2 CCA-sichere Verschlüsselung. Anmerkungen: Wir werden den Satz hier nicht formal beweisen. Der Beweis verläuft großteils analog zum vorigen Beweis. Problem: Müssen Orakel Dec sk ( ) simulieren, ohne sk zu kennen. Verwende dazu geschicktes Simulieren des Random Oracles H( ). Bsp. für geschicktes Simulieren: s. Beweis zu RSA-FDH (später). Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 80 / 174

81 Jacobi-Symbol Erinnerung Jacobi-Symbol: Beweise siehe Diskrete Mathematik II Definition Quadratischer Rest Sei N N. Ein Element a Z N heißt quadratischer Rest in Z N, falls es ein b Z N gibt mit b 2 = a mod N. Wir definieren QR N = {a Z N a ist quadratischer Rest } und QNR N = Z N \ QR N. Lemma Anzahl quadratischer Reste in primen Restklassen Sei p > 2 prim. Dann gilt QR p = Z p 2 = p 1 2. Beweisidee: Quadrieren auf Z p, x x 2, ist eine 2:1-Abbildung. Die verschiedenen Werte x, ( x) werden beide auf x 2 abgebildet. Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 81 / 174

82 Legendre-Symbol Definition Legendre Symbol Sei p > 2 prim und a N. Das Legendre Symbol ist definiert als ( ) a = p 0 falls p a 1 falls (a mod p) QR p. 1 falls (a mod p) QNR p Satz ( ) a = a p 1 2 mod p p Eigenschaften Quadratischer Reste ( ) ( ) ( ) 1 Multiplikativität: ab p = a b p p 2 (QR p, ) ist eine multiplikative Gruppe. Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 82 / 174

83 Das Jacobi Symbol Definition Jacobi Symbol Sei N = p e pe k k N ungerade und a N. Dann ist das Jacobi Symbol definiert als ) ( ) ei ( ) ek = a p 1... a pk. ( a N Warnung: ( a N ) = 1 impliziert nicht, dass a QRN ist. Bsp: ( 2 15) = ( 2 3) ( 2 5) = ( 1)( 1) = 1. D.h. 2 QNR 3 und 2 QNR 5. Damit besitzt x 2 = 2 weder Lösungen modulo 3 noch modulo 5. Nach CRT besitzt x 2 = 2 mod 15 ebenfalls keine Lösung. Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 83 / 174

84 Pseudoquadrate Berechnung des Jacobi-Symbols: Sei a Z N. Berechnung von ( a N ) ist in Zeit log 2 (max{n, a}) möglich, ohne die Faktorisierung von N zu kennen. Algorithmus ist ähnlich zum Euklidischen Algorithmus, verwendet das Gaußsche Reziprozitätsgesetz. Definition Pseudoquadrat Sei N N. Die Menge der Pseudoquadrate ist definiert als QNR +1 N = {a Z N ( a N ) = 1 und a / QRN }. Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 84 / 174

85 Multiplikation von Resten/Nichtresten Lemma Multiplikation von Resten/Nichtresten Sei N = pq ein RSA-Modul. Seien x, x QR N und y, y QNR +1 N. 1 xx QR N 2 yy QR N 3 xy QNR +1 N Beweis: für 3 (1+2 folgen analog) Nach Chinesischem Restsatz gilt QR N QR p QR q und QNR +1 N QNR p QNR q. Aus der Multiplikativität des Legendre-Symbols folgt ( xy ) ( ) ( ) ( ) ( ) ( ) ( ) N = xy xy p q = x x y y p q p q = 1 1 ( 1) ( 1) = 1. Analog gilt ( xy p Daraus folgt xy QNR +1 N. ) ( ) ( ) = x y p p = ( 1). Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 85 / 174

86 Quadratische Residuositätsannahme Definition Quadratische Residuosität Das Unterscheiden quadratischer Reste ist hart bezüglich GenModulus(1 n ) falls für alle ppt D gilt Ws[D(1 n, N, qr) = 1] Ws[D(1 n, N, qnr) = 1] negl(n), wobei qr R QR N und qnr R QNR +1 N. QR-Annahme: Unterscheiden quadratischer Reste ist hart. Idee des Goldwasser-Micali Kryptosystems pk = N, sk = (p, q) Verschlüsselung von 0 ist zufälliges x R QR N. Wähle x R Z N und berechne x x 2 mod N. Verschlüsselung von 1 ist zufälliges y R QNR +1 N. Problem: Wie wählt man y ohne p, q zu kennen? Abhilfe: Public-Key enthält z R QNR +1 N. Sender wählt x R Z N und berechnet y z x 2 mod N QNR +1 N. Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 86 / 174

87 GOLDWASSER-MICALI Verschlüsselung (1984) Definition GOLDWASSER-MICALI Verschlüsselung Sei n ein Sicherheitsparameter. 1 Gen: (N, p, q) GenModulus(1 n ). Wähle z R QNR +1 N. (Wie?) Schlüssel: pk = (N, z) und sk = (p, q) 2 Enc: Für m {0, 1} wähle x R {0, 1} und berechne c z m x 2 mod N. { ( ) 0 falls c 3 p = 1 Dec: Berechne m =. 1 sonst Korrektheit: ( ) Für m = 0 ist c QR N QR p QR q, d.h. c p = 1. ( ) Für m = 1 ist c QNR +1 N QNR p QNR q, d.h. c p = ( 1). Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 87 / 174

88 Sicherheit von GOLDWASSER-MICALI Verschlüsselung Satz Sicherheit von GOLDWASSER-MICALI Unter der QR-Annahme ist GOLDWASSER-MICALI Π CPA-sicher. Beweis: Sei A ein Angreifer für Π mit ɛ(n) = Ws[PubK cpa A,Π (n) = 1]. Konstruieren Unterscheider D für Quadratische Residuosität. Algoritmus QR-Unterscheider D EINGABE: (N, z) mit ( z N ) = 1 1 Setze pk = (N, z) und berechne (m 0, m 1 ) A(pk). OBdA gilt {m 0, m 1 } = {0, 1}. 2 Wähle b R {0, 1} und x R Z N. Berechne c zm b x 2 mod N. 3 b A(c) { 1 falls b = b, Interpretation z QNR +1 AUSGABE: N 0 sonst, Interpretation z QR N Krypto II - Vorlesung 07 CCA-sicheres RSA, Jacobi-Symbol, Goldwasser-Micali 88 / 174