Authentikation und digitale Signatur

Transkript

1 TU Graz 23. Jänner 2009

2 Überblick: Begriffe Authentikation Digitale Signatur

5 Begriffe Alice und Bob Digitale Signatur Authentifizierung Authentisierung Authentikation

10 Authentikation Authentikationsmethoden Authentikationsmodelle Single-Sign-On Multiple-Sign-On Benutzerauthentikation an einem Rechner Passwortmechanismus mit Einwegfunktion Geburtstagsattacke auf eine Hashfunktion Challenge and Response CR mit symmetrischer Kryptographie CR in Public-Key-Kryptographie Zero-Knowledge

13 Authentikation: Methoden und Modelle Methoden...durch Wissen...durch Besitz...durch Ort und Zeit...durch biometrische Merkmale Modelle Single-Sign-On Multiple-Sign-On

18 Authentikation: Benutzerauthentikation an einem Rechner

19 Authentikation: Passwortmechanismus mit Einwegfunktion Hashfunktionen und Kompressionsfunktionen: h : Σ Σ n, n N Anwendungen in der Kryptographie effizient berechenbar sein. Kollisionen: für die x x und h(x) = h(x ). h(x) muss x D (x, x ) D 2

22 Authentikation: Geburtstagsattacke auf eine Hashfunktion Geburtstagsparadox ( 1 + ) 1 + (8 ln 2) Σ P (Kollision) n 2 Am Beispiel Σ = {0, 1}: ( 1 + ) 1 + (8 ln 2)2 P (Kollision) n 2 Es darf nicht möglich sein 2 n 2 Hashwerte zu berechnen und zu speichern. n > 128 und für digitale Signaturen n 160.

25 Authentikation: Challenge and Response Challenge und Response CR mit symmetrischer Kryptographie Alice und Bob kennen Schlüssel k Bob sendet r an Alice Alice bildet c = E k (r) und Bob r = D k (c) Wenn r = r wird Alice anerkannt CR in Public-Key-Kryptographie Alice bekommt eine Zufallszahl Bob verifiziert Signatur (kennt nur öffentlichen Schlüssel) öffentlicher Schlüssel muss vor Veränderungen geschützt sein

28 Authentikation: Ausblick: Zero-Knowledge Zwei Parteien keine Informationsweitergabe über das Geheimnis Das Geheimnis des Tartaglia Fiat-Shamir-Protokoll

32 Digitale Signatur Nachrichtenauthentikation durch CBC Message Authentication Code Funktionsweise des CBC-MAC DSA-Verfahren Alice braucht Alice will eine Nachricht signieren Erzeugung Signieren Verifikation Vergleich: DSA und CBC-MAC Bürgerkarte

36 Digitale Signatur: Nachrichtenauthentikation durch CBC MAC Message Authentication Code (MAC) Authenzität parametrisierte Hashfunktionen Diese sind eine Familie von Hashfunktionen: {h k : k K} Die Menge K heißt dabei Schlüsselraum von h. Sei zum Beispiel: g : {0, 1} {0, 1} 4, dann kann man damit folgendermaßen einen MAC mit Schlüsselraum {0, 1} 4 und k = 4 erstellen: h k : {0, 1} {0, 1} 4, x g(x) k.

42 Digitale Signatur: Nachrichtenauthentikation durch CBC Man verwendet eine n-bit lange Block-Chiffre für einen m-bit MAC, für die dann gilt, dass m n. Serie von n-bit Blöcken Blöcke werden mit CBC verschlüsselt letzter Block wird als MAC verwendet falls m < n wird noch nachbearbeitet

46 Digitale Signatur: Nachrichtenauthentikation durch CBC Von jetzt an, falls die n-bit Datenblöcke m 1, m 2,, m q sind, wird der MAC berechnet, nachdem I 1 = m 1 und O 1 = e k (I k ) für die Blöcke i von 2 bis q. I i = m i O i 1, O i = e k (I i )

47 Digitale Signatur: Nachrichtenauthentikation durch CBC Von jetzt an, falls die n-bit Datenblöcke m 1, m 2,, m q sind, wird der MAC berechnet, nachdem I 1 = m 1 und O 1 = e k (I k ) für die Blöcke i von 2 bis q. I i = m i O i 1, O i = e k (I i )

48 Digitale Signatur: Nachrichtenauthentikation durch CBC Ergebnis wird also auf m-bit gebracht.

49 Digitale Signatur: Nachrichtenauthentikation durch CBC Padding (vor der MAC-Berechnung) mit Nullen auffüllen, für ganze Blöcken man schreibt eine 1 ans Ende der Nachricht mit Nullen auffüllen, plus Länge der Nachricht Post-Processing (macht den MAC eindeutig) wähle Schlüssel k 1 und berechne damit O q = e k (d k1 (O q )). wähle Schlüssel k 1 und berechne damit O q = e k (O q ).

50 Digitale Signatur: Nachrichtenauthentikation durch CBC Padding (vor der MAC-Berechnung) mit Nullen auffüllen, für ganze Blöcken man schreibt eine 1 ans Ende der Nachricht mit Nullen auffüllen, plus Länge der Nachricht Post-Processing (macht den MAC eindeutig) wähle Schlüssel k 1 und berechne damit O q = e k (d k1 (O q )). wähle Schlüssel k 1 und berechne damit O q = e k (O q ).

51 Digitale Signatur: DSA-Verfahren Digital Signature Algorithm Alice braucht geheimen Schlüssel a öffentlichen Schlüssel e Alice will signieren Message m Signatur s(a, m) Das gesamte Verfahren verläuft in drei Schritten.

55 Digitale Signatur: Schlüssel-Erzeugung Alice erzeugt eine Primzahl q < q < dann wählt Alice eine Primzahl p: t < p < t, t {0,, 8} q ist Teiler von p 1 (schützt vor Pollard s p-1 Attacke). p liegt zwischen und Man zieht dann die Primitivwurzel x mod p. g = x (p 1) q mod p Ordnung von g + pz ist q. Alice wählt dann a {1, 2,, q 1} zufällig. A = g a mod p

59 Digitale Signatur: Schlüssel-Erzeugung Dann ist der geheime Schlüssel ist a. e = (p, q, g, A) A + pz gehört zur Untergruppe g + pz der Ordnung q. Um von (p, q, g, A) auf a schließen zu können, müssen diskrete Logarithmen gelöst werden.

62 Digitale Signatur: Signieren Sei x nun ein Text und h eine kollisionsresistente Hashfunktion. h : {0, 1} {1, 2,, q 1} Sei k nun zufällig gewählt aus {1, 2,, q 1}, dann r = (g k mod p) mod q Nun setzt man s = k 1 (h(x) + ar) mod q, wobei k 1 das Inverse von k mod q. Die Signatur ist somit (r, s).

66 Digitale Signatur: Verifikation Die Signatur des Textes x sei (r, s). Der öffentliche Schlüssel (p, q, g, A) und die öffentlich bekannte Hashfunktion sei h. Bob überprüft nun ob: 1 r q 1 und 1 s q 1 führt Bob die Überprüfung fort, dann somit gilt r = ((g (s 1 h(x)) mod q A (rs 1 ) mod q ) mod p) mod q g (s 1 h(x)) mod q A (rs 1 ) mod q g s 1 (h(x)+ra) g k mod p.

70 Digitale Signatur: Vergleich CBC-MAC und DSA Zusammenfassend kann man folgende Unterschiede oder Gemeinsamkeiten feststellen: Sicherheit Verschlüsselung Integrität

74 Digitale Signatur: Bürgerkarte Einsatzmöglichkeiten Daten auf der Bürgerkarte Weitere Information zur Bürgerkarte gibt es unter Gratis Kartenlesegerät und Freischaltung Terminvereinbarungen an der TU-Graz unter Fragen?

80 Danke für Ihre Aufmerksamkeit!