Digitale Signaturen. Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Transkript

1 Digitale Signaturen Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft

2 Socrative: Wiederholung Room: SIGNATUREN Bitte jetzt einloggen, falls ihr mitmachen wollt :) Bleibt am Besten einfach während der VL eingeloggt. Erstes Quiz läuft bereits & kann ausgefüllt werden! B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

3 Inhalt Organisatorisches Sicherheitsexperimente (Kap 1.2.2) Definition (Kap. 1.1) Beziehungen zwischen Sicherheitsdefinitionen (Kap ) Perfekte Sicherheit (Kap ) Erweiterung des Nachrichtenraumes (Kap. 1.3) B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

4 Socrative vom letzten Mal Nur 46% haben Sicherheit besucht Andere Krypto-VLs: Nur Bruchteile Konsequenz: Mehr Sorgfalt bei Grundlagen Fragen sind immer willkommen! :) Socrative kam gut an werden wir weiter verwenden Wunsch: Wissensfragen Sind geplant! Vfy statt Ver: passt besser zum Skript & ist generell nicht einheitlich B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

5 Werbung: Das KASTEL-Zertifikat Karlsruhe Weg: Vollinformatiker mit Spezialisierung in IT-Sicherheit Voraussetzungen: Abschlussarbeit im Gebiet IT-Sicherheit 30 ECTS durch Veranstaltungen aus dem Gebiet IT-Sicherheit, davon 6 ECTS Grundlagen (Stammmodul Sicherheit) 14 ECTS Vertiefung 10 ECTS Vertiefung oder Erweiterung ein Praktikum Definitionen und Details auf B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

6 Wdh.: Sicherheitsdefinitionen Sicherheitsdefinition ˆ= Angreiferziel + Angreifermodell Wichtige Kombinationen : EUF-CMA EUF-naCMA B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

7 Sicherheitsexperimente Werkzeug für Sicherheitsdefinitionen: Sicherheitsexperimente An einem Sicherheitsexperiment nehmen zwei Parteien teil: Angreifer A Challenger C A spielt gegen C A gewinnt, falls er die Sicherheit des Verfahrens bricht B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

8 EUF-CMA-Sicherheitsexperiment C EUF-CMA A B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

9 EUF-CMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) C EUF-CMA pk A B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

10 EUF-CMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) C EUF-CMA pk A m i σ i B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

11 EUF-CMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) C EUF-CMA pk A m i σ i Anfragen nacheinander q = q(k) Anfragen q Polynom B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

12 EUF-CMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) C EUF-CMA pk A m i σ i Anfragen nacheinander q = q(k) Anfragen q Polynom m, σ Ver(pk, m, σ ) = 1? m / {m 1,..., m q }? A gewinnt, falls Vfy(pk, m, σ ) = 1 und m / {m 1,..., m q } B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

13 Definition: EUF-CMA Def. 2: (EUF-CMA) Ein digitales Signaturverfahren Σ = (Gen, Sign, Vfy) ist EUF-CMA-sicher, falls für alle PPT A gilt, dass B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

14 Definition: EUF-CMA Def. 2: (EUF-CMA) Ein digitales Signaturverfahren Σ = (Gen, Sign, Vfy) ist EUF-CMA-sicher, falls für alle PPT A gilt, dass [ Pr A C EUF-CMA(pk) = (m, σ ) : Vfy(pk, m, σ ] ) = 1 m / {m 1,..., m q } negl(k) B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

15 Definition: EUF-CMA Def. 2: (EUF-CMA) Ein digitales Signaturverfahren Σ = (Gen, Sign, Vfy) ist EUF-CMA-sicher, falls für alle PPT A gilt, dass [ Pr A C EUF-CMA(pk) = (m, σ ) : Vfy(pk, m, σ ] ) = 1 m / {m 1,..., m q } negl(k) für eine im Sicherheitsparameter k vernachlässigbare Funktion negl B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

16 Definition (Wdh.): Vernachlässigbarkeit Def.: (Vernachlässigbare Fkt.) Eine Funktion negl : N [0, 1] ist vernachlässigbar, genau dann, wenn: c N k 0 N k k 0 : negl(k) < 1/k c B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

17 Definition (Wdh.): Vernachlässigbarkeit Def.: (Vernachlässigbare Fkt.) Eine Funktion negl : N [0, 1] ist vernachlässigbar, genau dann, wenn: c N k 0 N k k 0 : negl(k) < 1/k c. Bsp.: 1/2 k vernachlässigbar, 1/k 2 nicht vernachlässigbar B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

18 Bsp.: UUF-NMA-Sicherheitsexperiment Ideen? B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

19 Bsp.: UUF-NMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) m {0, 1} p(k) C UUF-NMA pk, m A B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

20 Bsp.: UUF-NMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) m {0, 1} p(k) C UUF-NMA pk, m A σ Ver(pk, m, σ ) = 1? A gewinnt, falls Vfy(pk, m, σ ) = B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

21 EUF-CMA UUF-NMA Def. 4 (UUF-NMA): Ein Signaturverfahren Σ = (Gen, Sign, Vfy) ist UUF-NMA-sicher, wenn A : Pr[A C UUF-NMA(pk, m ) = σ : Vfy(pk, m, σ ) = 1] negl(k) B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

22 EUF-CMA UUF-NMA Def. 4 (UUF-NMA): Ein Signaturverfahren Σ = (Gen, Sign, Vfy) ist UUF-NMA-sicher, wenn A : Pr[A C UUF-NMA(pk, m ) = σ : Vfy(pk, m, σ ) = 1] negl(k) Theorem: Sei Σ = (Gen, Sign, Vfy) ein Signaturverfahren. Wenn Σ EUF-CMA-sicher ist, dann ist es auch UUF-NMA-sicher B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

23 Beweis: EUF-CMA UUF-NMA Beweisvorgehen Beweise (fast) immer durch Reduktion Widerspruchsbeweis: (EUF-CMA UUF-NMA) ( UUF-NMA EUF-CMA) B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

24 Beweis: EUF-CMA UUF-NMA Beweisvorgehen Beweise (fast) immer durch Reduktion Widerspruchsbeweis: (EUF-CMA UUF-NMA) ( UUF-NMA EUF-CMA) Ann.: Σ ist EUF-CMA-sicher, aber nicht UUF-NMA-sicher. D.h.: PPT-Angreifer A UUF-NMA, sodass A : Pr[A C UUF-NMA(pk, m ) = σ : Vfy(pk, m, σ ) = 1] 1 poly(k) B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

25 Beweis: EUF-CMA UUF-NMA (2) Reduktion: Konstruiere aus A UUF-NMA einen erfolgreichen PPT-Angreifer A EUF-CMA auf die EUF-CMA-Sicherheit von Σ. A EUF-CMA verwendet A UUF-NMA als Subroutine B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

26 Beweis: EUF-CMA UUF-NMA (2) Reduktion: Konstruiere aus A UUF-NMA einen erfolgreichen PPT-Angreifer A EUF-CMA auf die EUF-CMA-Sicherheit von Σ. A EUF-CMA verwendet A UUF-NMA als Subroutine. Existenz von A EUF-CMA ist dann Widerspruch zur EUF-CMA-Sicherheit also kann A UUF-NMA nicht existieren B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

27 Beweis: EUF-CMA UUF-NMA (3) Beweis: Siehe Tafel. Voraussetzungen: Σ ist EUF-CMA-sicher. Ann.: Σ nicht UUF-NMA-sicher. Ziel: Führe Annahme zum Widerspruch B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

28 Beweis: EUF-CMA UUF-NMA (4) Anmerkung: A EUF-CMA schickt keine Signaturanfragen an den Challenger damit haben wir sogar gezeigt. EUF-NMA UUF-NMA B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

29 UUF-NMA: Sinnvoll? Frage: Wie sinnvoll ist die UUF-NMA-Sicherheitsdefinition? Antwort: später B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

30 Socrative Room: SIGNATUREN Wieviel Nachrichten kann A sich im EUF-CMA-Experiment signieren lassen? Wann gewinnt der Angreifer im EUF-CMA-Experiment? Gilt EUF-CMA UUF-NMA? Gilt UUF-CMA EUF-NMA? B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

31 EUF-naCMA-Sicherheitsexperiment C EUF-naCMA A B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

32 EUF-naCMA-Sicherheitsexperiment C EUF-naCMA m 1,..., m q A q = q(k) Nachrichten q Polynom B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

33 EUF-naCMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) i : σ i Sign(sk, m i ) C EUF-naCMA m 1,..., m q pk, σ 1,..., σ q A q = q(k) Nachrichten q Polynom B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

34 EUF-naCMA-Sicherheitsexperiment (pk, sk) Gen(1 k ) i : σ i Sign(sk, m i ) C EUF-naCMA m 1,..., m q pk, σ 1,..., σ q A q = q(k) Nachrichten q Polynom m, σ Ver(pk, m, σ ) = 1? m / {m 1,..., m q }? A gewinnt, falls Vfy(pk, m, σ ) = 1 und m / {m 1,..., m q } Def.: Wie Def. 2 (mit EUF-naCMA-Experiment) B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

35 Beziehungen zwischen Sicherheitsdefinitionen (Kap ) UUF-NMA UUF-naCMA UUF-CMA Generell: UUF < EUF NMA < CMA EUF-NMA EUF-naCMA EUF-CMA B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

36 Beziehungen zwischen Sicherheitsdefinitionen (Kap ) UUF-NMA UUF-naCMA UUF-CMA EUF-NMA EUF-naCMA EUF-CMA Generell: UUF < EUF siehe Tafel (Skript: Übungsaufgabe 8) NMA < CMA B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

37 Sicherheitsdefinitionen Aktuelle Forschung: Leakage-Resilience Andere Signaturtypen andere Sicherheitsbegriffe B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

38 Perfekte Sicherheit (Kap ) Informationstheoretische Sicherheit: Keine Einschränkung auf PPT-Angreifer. Symmetrische Kryptographie: Es existieren informationstheoretisch sichere symm. Verfahren. Beispiel: One-Time-Pad (Verschlüsselung) Frage: Gibt es das auch bei Signaturen? B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

39 Perfekte Sicherheit: Leider nicht! (1) Theorem 10: Sei Σ = (Gen, Sign, Vfy) ein Signaturverfahren. Es gibt einen UUF-NMA-Angreifer A auf Σ mit: Laufzeit O(2 L ), Erfolgswahrscheinlichkeit 1. Dabei ist L die kleinste natürliche Zahl, sodass für alle Nachrichten m eine Signatur σ existiert mit σ L. Beweis: Ideen? B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

40 Perfekte Sicherheit: Leider nicht! (1) Theorem 10: Sei Σ = (Gen, Sign, Vfy) ein Signaturverfahren. Es gibt einen UUF-NMA-Angreifer A auf Σ mit: Laufzeit O(2 L ), Erfolgswahrscheinlichkeit 1. Dabei ist L die kleinste natürliche Zahl, sodass für alle Nachrichten m eine Signatur σ existiert mit σ L. Beweis: Brute-Force B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

41 Perfekte Sicherheit: Leider nicht! (2) Theorem 12: Sei Σ = (Gen, Sign, Vfy) ein Signaturverfahren. Es gibt einen UUF-NMA-Angreifer A auf Σ mit: Laufzeit O(L), Erfolgswahrscheinlichkeit ist 2 L. Dabei ist L die kleinste natürliche Zahl, sodass für alle Nachrichten m eine Signatur σ existiert mit σ L. Beweis: Ideen? B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

42 Perfekte Sicherheit: Leider nicht! (2) Theorem 12: Sei Σ = (Gen, Sign, Vfy) ein Signaturverfahren. Es gibt einen UUF-NMA-Angreifer A auf Σ mit: Laufzeit O(L), Erfolgswahrscheinlichkeit ist 2 L. Dabei ist L die kleinste natürliche Zahl, sodass für alle Nachrichten m eine Signatur σ existiert mit σ L. Beweis: Signatur raten B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

43 Perfekte Sicherheit: Anmerkungen Es gibt informationstheoretisch sichere symmetrische Signaturen (MACs)! Aktuelle Forschung: Perfekte Sicherheit in anderen Modellen?! Existenz einer Trusted Authority, eingeschränkte Benutzeranzahl, verschiedene Algorithmen für jeden Benutzer,... z.b. Unconditionally Secure Digital Signature Schemes..., Hanaoka et. al. (2000) B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

44 Erweiterung des Nachrichtenraumes (Kap. 1.3) Wir konstruieren fast immer Signaturen mit endlichem/kleinem Nachrichtenraum, z.b.: Z p = {0,..., p 1}, p prim {0, 1} q(k), q Polynom, k Sicherheitsparameter Ziel: Signaturen mit größerem Nachrichtenraum, z.b. {0, 1} p(k), p Polynom mit p(k) / O(q(k)), {0, 1} B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

45 Hashfunktionen Def. 14: (Hashfunktionen) Eine Hashfunktion H = (Gen H, EVAL H ) ist ein Tupel aus zwei PPT-Algorithmen: B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

46 Hashfunktionen Def. 14: (Hashfunktionen) Eine Hashfunktion H = (Gen H, EVAL H ) ist ein Tupel aus zwei PPT-Algorithmen: Gen H (1 k ) berechnet t, sodass t eine Fkt. spezifiziert. H t : {0, 1} M t B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

47 Hashfunktionen Def. 14: (Hashfunktionen) Eine Hashfunktion H = (Gen H, EVAL H ) ist ein Tupel aus zwei PPT-Algorithmen: Gen H (1 k ) berechnet t, sodass t eine Fkt. spezifiziert. EVAL H (1 k, t, x) berechnet H t (x). H t : {0, 1} M t Kurzschreibweisen: H statt t, H(x) für Eval(1 k, t, x) etc B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

48 Kollisionsresistenz Def. 15: (Kollisionsresistenz) Eine Hashfunktion H = (Gen H, EVAL H ) ist kollisionsresistent, falls für alle t Gen H (1 k ) und alle PPT A gilt, dass B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

49 Kollisionsresistenz Def. 15: (Kollisionsresistenz) Eine Hashfunktion H = (Gen H, EVAL H ) ist kollisionsresistent, falls für alle t Gen H (1 k ) und alle PPT A gilt, dass Pr[A(1 k, t) = (x, x ) : H t (x) = H t (x ) x = x ] negl(k) für eine im Sicherheitsparameter k vernachlässigbare Funktion negl B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

50 Konstruktion: Signatur mit unendlichem Nachrichtenraum Geg.: Σ = (Gen, Sign, Vfy ) mit Nachrichtenraum M kollres. Hashfkt. H : {0, 1} M Konstruiere Σ = (Gen, Sign, Vfy): Ideen? B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

51 Konstruktion: Signatur mit unendlichem Nachrichtenraum Geg.: Σ = (Gen, Sign, Vfy ) mit Nachrichtenraum M kollres. Hashfkt. H : {0, 1} M Konstruiere Σ = (Gen, Sign, Vfy): Gen(1 k ) berechnet (pk, sk) Gen (1 k ) Sign(sk, m) berechnet σ Sign (sk, H(m)) Vfy(pk, m, σ) gibt Vfy (pk, H(m), σ) aus B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

52 Sicherheit der Konstruktion Theorem 17: Für jeden Angreifer A, der mit Laufzeit t A und Erfolgswkt. ɛ A die EUF-CMA-Sicherheit von Σ bricht, existiert ein Angreifer B mit Laufzeit t B t A, der entweder die Kollisionsresistenz von H mit Wkt. ɛ A /2, oder die EUF-CMA-Sicherheit von Σ mit Wkt. ɛ A /2 bricht. Hinweis: Gilt auch für EUF-naCMA-Sicherheit B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

53 Hash-then-Sign Eben gezeigte Konstruktion wird Hash-then-Sign genannt. Sehr praxisrelevant! Auch in der Theorie wichtig. z.b. als Übersetzer zwischen verschiedenen algebraischen Settings B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

54 Hashfunktionen: Forschung Hashfunktionen mit spezielleren Eigenschaften Wir werden im Laufe der VL ein paar davon betrachten! SHA-3 Wettbewerb , Standardisierung B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen

55 Socrative Room: SIGNATUREN Teacher s Question: Anmerkungen zur VL, Wünsche, Kritik, B. Kaidel Digitale Signaturen: Sicherheitsdefinitionen