Ziel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.

Ähnliche Dokumente
Sicherheit von Merkle Signaturen

Beliebige Anzahl von Signaturen

Homomorphe Verschlüsselung

Hardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.

Rabin Verschlüsselung 1979

Einwegfunktionen Ziel: CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später: CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm.

RSA Full Domain Hash (RSA-FDH) Signaturen

Die (Un-)Sicherheit von DES

Merkle-Damgard Transformation

Existenz von Einwegfunktionen

Hashfunktionen und Kollisionen

CPA-Sicherheit ist ungenügend

Asymmetrische Verschlüsselungsverfahren

Digitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung)

Sicherheit von ElGamal

Stromchiffre. Algorithmus Stromchiffre

Hybride Verschlüsselungsverfahren

RSA Full Domain Hash (RSA-FDH) Signaturen

Digitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)

Ununterscheidbarkeit von Chiffretexten

Vorlesung Digitale Signaturen im Wintersemester 2016/-17. Socrative-Fragen aus der Vorlesung vom

Definition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.

Stromchiffre. Algorithmus Stromchiffre

Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Kryptographie II Asymmetrische Kryptographie

Ununterscheidbarkeit von Chiffretexten

Ununterscheidbarkeit von Chiffretexten

Voll homomorpe Verschlüsselung

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:

Vorlesung Sicherheit

Homomorphe Verschlüsselung

Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 5. pk = (g, y) und sk = (g, x). ? = y H(t m) t. g s

Prinzip 2 Präzisierung der Annahmen

Kryptographie II Asymmetrische Kryptographie

Vorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom

ElGamal Verschlüsselungsverfahren (1984)

Übung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel

Konstruktion CPA-sicherer Verschlüsselung

Prinzipien der modernen Kryptographie Sicherheit

Digitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise

Prinzipien der modernen Kryptographie Sicherheit

Asymmetrische Verschlüsselungsverfahren

Institut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung

Prinzipien der modernen Kryptographie Sicherheit

Asymmetrische Verschlüsselungsverfahren

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur Hinweise

Vorlesung Sicherheit

Sicherer MAC für Nachrichten beliebiger Länge

Gruppenbasierte Kryptographie. ElGamal Sicherheit. Drei Probleme. ElGamal Verschlüsselung. Benutzt zyklische Gruppen von (fast) Primzahlordnung:

Digitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.

Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösung Hinweise

Kryptographie II Asymmetrische Kryptographie

Vorlesung Sicherheit

VI.4 Elgamal. - vorgestellt 1985 von Taher Elgamal. - nach RSA das wichtigste Public-Key Verfahren

Digitale Signaturen. Kapitel 8

Digitale Signaturen. seuf-cma & Pairings Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Vorlesung Sicherheit

Vorlesung Sicherheit

Digitale Signaturen. Anwendung von Einmalsignaturen Björn Kaidel (mit Folien von Gunnar Hartung)

Das Generalized Birthday Problem

Digitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur

Übung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52

Das Rucksackproblem. Definition Sprache Rucksack. Satz

Digitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.

Digitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Bemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle

13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie

Digitale Signaturen. Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

VIII. Digitale Signaturen

VII. Hashfunktionen und Authentifizierungscodes

Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Einführung in die asymmetrische Kryptographie

In beiden Fällen auf Datenauthentizität und -integrität extra achten.

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise

Sicherheit von Π MAC2

3: Zahlentheorie / Primzahlen

Digitale Signaturen. Parameterwahl & RSA-PSS Björn Kaidel (mit Folien von Gunnar Hartung)

Kryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösungsvorschlag Hinweise

6: Public-Key Kryptographie (Grundidee)

Isomorphismus. Definition Gruppen-Isomorphismus. Seien (G, +) und (G, ) Gruppen. Die Abbildung f : G G heißt Gruppen-Isomorphismus, falls gilt

Digitale Unterschriften mit ElGamal

Einführung in digitale Signaturen

3: Primzahlen. 111 S. Lucks Diskr Strukt. (WS 18/19) 3: Primzahlen

Übungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade

Der komplexitätstheoretische Zugang zur Kryptographie

Vorlesung Sicherheit

VI.3 RSA. - RSA benannt nach seinen Erfindern R. Rivest, A. Shamir und L. Adleman. - vorgestellt erstes Public-Key Verschlüsselungsverfahren

Satz von Euler. Satz von Euler. Korollar 1. Korollar 2 Kleiner Fermat. Sei (G, ) eine endl. abelsche Gruppe. Dann gilt a G = 1 für alle a G.

Satz von Euler. Satz von Euler. Korollar 1. Korollar 2 Kleiner Fermat. Sei (G, ) eine endl. abelsche Gruppe. Dann gilt a G = 1 für alle a G.

Kryptographische Protokolle

Hashfunktionen und MACs

Transkript:

Merkle-Baum Idee: Konstruktion von Merkle-Bäumen Ersetze Signaturkette durch Baum (sogenannter Merkle-Baum). Verwenden Baum der Tiefe n für Nachrichten der Länge n. Die Wurzel erhält Label ɛ. Die Kinder eines Knotens mit Label w erhalten Label w0 und w1. Blätter besitzen Nachrichten-Label m {0, 1} n. Knoten mit Label w speichern Schlüsselpaar pk w, sk w. Wurzelschlüssel pk ɛ ist der öffentliche Schlüssel. Ziel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten. Krypto II - Vorlesung 14-11.07.2012 () Mekle, DSS und Schnorr Signaturen, Übersicht Krypto I+II 157 / 24

Signieren und Verifizieren von m = 001 Signieren von m = 001 Pfad von Wurzel zu m: ɛ, 0, 00, 001 mit Nachbarknoten 1, 01, 000. Signiere (pk 0 pk 1 ) mittels sk ɛ. Sei dies σ ɛ. Signiere (pk 00 pk 01 ) mittels sk 0. Sei dies σ 0. Signiere (pk 000 pk 001 ) mittels sk 00. Sei dies σ 00. Signiere m mittels sk 001. Sei dies σ 001. Signatur ist σ = (pk 0 pk 1, σ ɛ, pk 00 pk 01, σ 0, pk 000 pk 001, σ 00, σ 001 ) Verifizieren von (m, σ): Verifiziere (pk 0 pk 1, σ ɛ ) mittels pk ɛ. Verifiziere (pk 00 pk 01, σ 0 ) mittels pk 0. Verifiziere (pk 000 pk 001, σ 00 ) mittels pk 00. Verifiziere (001, σ 001 ) mittels pk 001. Notation: Sei m {0, 1} n. Wir definieren m i := m 1... m i für i = 0,..., n. D.h. m i ist der i-zeichen Präfix von m und m 0 = ɛ. Krypto II - Vorlesung 14-11.07.2012 () Mekle, DSS und Schnorr Signaturen, Übersicht Krypto I+II 158 / 24

Signaturpfad der Nachricht m = 001 Signieren der Nachricht m = 001 mittels Signaturketten pk ε σ ε := Sign skε (pk 0 pk 1 ) pk 0 pk 1 σ 0 := Sign sk0 (pk 00 pk 01 ) pk 00 pk 01 pk 10 pk 11 pk 000 pk 001 σ 00 := Sign sk00 (pk 000 pk 001 ) σ 001 := Sign sk001 (m) Krypto II - Vorlesung 14-11.07.2012 () Mekle, DSS und Schnorr Signaturen, Übersicht Krypto I+II 159 / 24

Merkle Signaturen Algorithmus Merkle Signatur Sei Π = (Gen, Vrfy, Sign ) ein Einwegsignaturverfahren. 1 Gen: (pk ɛ, sk ɛ ) Gen (1 n ) 2 Sign: Für Nachricht m {0, 1} n : FOR i := 0 to n 1 Falls pkm i 0, pk m i 1 noch nicht erzeugt, erzeuge und speichere (pk m i 0, sk m i 0) Gen (1 n ), (pk m i 1, sk m i 1) Gen (1 n ). Erzeuge σm i Sign sk m i (pk m i 0, pk m i 1). Berechne σ m Sign sk m (m) Ausgabe von σ = ((pk m i 0 pk m i 1, σ m i ) n 1 i=0, σ m). 3 Vrfy : Für (m, σ) überprüfe Vrfy pk m i (pk m i 0 pk m i 1, σ m i )? = 1 für i = 0,..., n 1 und Vrfy pk m (m, σ m )? = 1. Krypto II - Vorlesung 14-11.07.2012 () Mekle, DSS und Schnorr Signaturen, Übersicht Krypto I+II 160 / 24

Eigenschaften von Merkle Signaturen Eigenschaften: Erlaubt das Signieren aller möglichen 2 n Nachrichten. Schlüsselpaare werden nur bei Bedarf erzeugt. Vorteile: gegenüber Signaturketten Signaturlänge/Verifikationszeit sind linear in der Nachrichtenlänge aber unabhängig von der Anzahl Signaturen. Keine Preisgabe der zuvor signierten Nachrichten. Satz Sicherheit von Merkle Signaturen Sei Π eine CMA-sichere Einwegsignatur. Dann sind Merkle Signaturen Π ein CMA-sicheres Signaturverfahren. Beweis: Sei A ein Angreifer mit ɛ(n) := Ws[Forge A,Π (n) = 1]. A frage höchstens q Signaturen an. Setze l := 2nq + 1 als obere Schranke für die Anzahl der benötigten Schlüssel in Π. Wir konstruieren mittels A einen Angreifer A für Π. Krypto II - Vorlesung 14-11.07.2012 () Mekle, DSS und Schnorr Signaturen, Übersicht Krypto I+II 161 / 24

Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (k), sk (k) ) Gen(1 n ) für k = 1,..., l. Wähle k R [l]. Ersetze pk (k ) durch pk. j 2 2 (m, σ ) A (pk (1) ). Signaturanfragen für m: For i 1 to n 1 Falls pk m i 0, pk m i 1 undefiniert, (pk m i 0, pk m i 1) (pk (j), pk (j+1) ). j j + 2 Berechne σm i, σ m und σ analog zu Merkle-Signaturen. Falls sk = sk (k ) benötigt, verwende das Signierorakel Sign sk ( ). 3 Sei σ = ((pk m i 0 pk m i 1, σ m i ) n 1 i=0, σ m) Fall 1: 0 i < n mit (pk m i 0 pk m i 1 ) (pk m i 0 pk m i 1). Sei i minimal. Dann gilt pk m i = pk m i = pk (k) für ein k [l]. Falls k = k, Ausgabe (pk m i 0 pk m i 1, σ m j ). Fall 2: Es gilt pk m = pk m = pk (k) für ein k [l]. Falls k = k, Ausgabe (m, σ m). Krypto II - Vorlesung 14-11.07.2012 () Mekle, DSS und Schnorr Signaturen, Übersicht Krypto I+II 162 / 24

Sicherheit von Merkle Signaturen Beweis: Fortsetzung Verteilung der Nachrichten für A ist identisch zum Forge-Spiel. D.h. A liefert eine gültige Signatur (m, σ ) mit Ws ɛ(n). Sowohl für Fall 1 als auch für Fall 2 gilt Ws[k = k ] = 1 l. Wir nehmen im folgenden an, dass k = k. Fall 1: neuer Public-Key in Geschwisterknotenpaar. A stellte eventuell Orakelanfrage für Nachricht (pk m i 0 pk m i 1). Wegen (pk m i 0 pk m i 1 ) (pk m i 0 pk m i 1) ist σ m i bezüglich pk eine gültige Signatur für eine neue Nachricht. Fall 2: pk m existiert bereits. A kann nicht Orakelanfrage m gestellt haben, da er m ausgibt. Damit ist σ m eine gültige neue Signatur für m bezüglich pk. Insgesamt: negl(n) Ws[Forge einweg ɛ(n) A,Π (n) = 1] = Da l polynomiell ist, folgt ɛ(n) negl(n). Krypto II - Vorlesung 14-11.07.2012 () Mekle, DSS und Schnorr Signaturen, Übersicht Krypto I+II 163 / 24 l.

Existenz CMA-sicherer Signatur Korollar Signatursatz Falls kollisionsresistente Hashfunktionen existieren, so existiert ein CMA-sicheres Signaturverfahren. Beweis: Unter der Annahme kollisionsresistenter Hashfunktionen existieren CMA-sichere Einwegsignaturen. Aus CMA-sicheren Einwegsignaturen können CMA-sichere Signaturen konstruiert werden. Anmerkung: Man kann sogar zeigen, dass ein CMA-sicheres Signaturverfahren existiert unter der Annahme der Existenz von Einwegfunktionen. Krypto II - Vorlesung 14-11.07.2012 () Mekle, DSS und Schnorr Signaturen, Übersicht Krypto I+II 164 / 24

Digital Signature Standard (DSA) Systemparameter: Primzahlen p, q, wobei q Bitlänge n besitzt und q p 1, q 2 p 1. Generator g einer Untergruppe von Z p mit Ordnung q. Algorithmus Digital Signature Standard 1 Gen: (p, q, g, H) Gen(1 n ) mit Hashfunktion H : {0, 1} Z q. Wähle x R Z q, berechne X := g x mod p. Setze pk = (p, q, g, H, X), sk = (p, q, g, H, x). 2 Sign: Für m {0, 1}, wähle r R Z q und berechne R = g r mod p, t := R mod q. s := (H(m) + xt) r 1 mod q. Signatur σ = (s, t). 3 Vrfy: Für (m, σ = (s, t)) berechne ˆR = (g H(m) X t ) 1/s und überprüfe ˆR? = t mod q. Krypto II - Vorlesung 14-11.07.2012 () Mekle, DSS und Schnorr Signaturen, Übersicht Krypto I+II 165 / 24

Eigenschaften des DSS Korrektheit: ˆR = (g H(m) X t ) 1/s mod p = g (H(m)+xt) (H(m)+xt) 1r = g r mod p. Parameterwahl: Bitlänge von p: 1024, Bitlänge n von q: 160. Die Signaturlänge von (s, t) Z 2 q ist damit nur 320 Bit. Dlog in Z p: subexponentieller Index-Calculus Algorithmus Dlog in g : Pollard-Rho mit Komplexität O(2 n 2 ). Sicherheit: Keine größeren Schwächen bekannt. Aber: DSS besitzt keinen Sicherheitsbeweis. Krypto II - Vorlesung 14-11.07.2012 () Mekle, DSS und Schnorr Signaturen, Übersicht Krypto I+II 166 / 24

Schnorr Signaturen Systemparameter: Primzahl q, wobei q Bitlänge n besitzt. Generator g einer Gruppe mit Ordnung q. Algorithmus Schnorr Signaturen 1 Gen: (q, g, H) Gen(1 n ) mit Hashfunktion H : {0, 1} {0, 1} k. Wähle x R Z q, berechne X := g x mod p. Setze pk = (q, g, H, X), sk = (q, g, H, x). 2 Sign: Für m {0, 1}, wähle r R Z q und berechne R := g r mod p, t := H(R m). s := r + xt mod q. Signatur σ = (s, t) Z q {0, 1} k. 3 Vrfy: Für (m, σ = (s, t)) berechne ˆR = g s X t und überprüfe H( ˆR m)? = t. Krypto II - Vorlesung 14-11.07.2012 () Mekle, DSS und Schnorr Signaturen, Übersicht Krypto I+II 167 / 24

Eigenschaften von Schnorr Signaturen Korrektheit: ˆR = g s X t = g r+xt g xt = g r = R mod p. Parameterwahl: Bitlänge n von q: 160, Bitlänge von k: 80 Die Signaturlänge von (r, s) Z q {0, 1} k ist damit nur 240 Bit. Sicherheit: Sicherheitsbeweis unter der Diskreten Logarithmus Annahme wenn H als Random Oracle modelliert wird. Krypto II - Vorlesung 14-11.07.2012 () Mekle, DSS und Schnorr Signaturen, Übersicht Krypto I+II 168 / 24

Übersicht Krypto I Abkürzungen: PRNG = Pseudozufallsgenerator PRF = Pseudozufallsfunktion. Funktionalität Sicherh. Konstrukt Annahme One-Time Pad perfekt m k keine Verschlüsselung Stromchiffre KPA m G(k) PRNG Blockchiffre CPA (r, m F k (r)) PRF (CBC, OFB, CTR) MAC unfälsch- F k (m) PRF bar Encrypt-then- CCA (c, t) = PRF Authenticate (Enc k1 (m), Mac k2 (c)) Krypto II - Vorlesung 14-11.07.2012 () Mekle, DSS und Schnorr Signaturen, Übersicht Krypto I+II 169 / 24

Übersicht Krypto II - Verschlüsselung Abkürzung: TD-OWP = Trapdoor-Einwegpermutation Funktionalität Konstrukt Annahme Schlüsselaustausch sicher Unterscheidungsannahme Diffie-Hellman g xy DDH: g xy g z PK Verschlüsselung CPA TD-OWP RSA (r e, hc(r) m) RSA-Annahme Rabin (x 2, lsb(x) m) Faktorisierungsannahme PK Verschlüsselung CPA (ROM) TD-OWP ROM-RSA (r e, H(r) m) RSA-Annahme PK Verschlüsselung CCA (ROM) TD-OWP + PRF ROM-RSA2 (r e, Enc H(r) (m)) RSA-Annahme PK Verschlüsselung CPA Unterscheidungsannahme ElGamal (g y, g xy m) DDH: g xy g z Goldwasser-Micali z m x 2 QR: QR N QNR +1 N Paillier (1 + N) m r N DCR: r N mod N 2 r Krypto II - Vorlesung 14-11.07.2012 () Mekle, DSS und Schnorr Signaturen, Übersicht Krypto I+II 170 / 24

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback