Vorlesung Sicherheit

Ähnliche Dokumente
Vorlesung Sicherheit

Vorlesung Sicherheit

Vorlesung Sicherheit

Vorlesung Sicherheit

Hashfunktionen und Kollisionen

Merkle-Damgard Transformation

Vorlesung Sicherheit

Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise

Algorithmen I. Prof. Jörn Müller-Quade Institut für Theoretische Informatik Web:

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur

Kapitel 7: Kryptographische Hash- Funktionen. IT-Sicherheit

Kryptographie und Komplexität

Homomorphe Verschlüsselung

Vorlesung Sicherheit

Beweisbar sichere Verschlüsselung

8 Komplexitätstheorie und Kryptologie

Einwegfunktionen. Problemseminar. Komplexitätstheorie und Kryptographie. Martin Huschenbett. 30. Oktober 2008

Message Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell

Voll homomorpe Verschlüsselung

Konstruktion von Hashfunktionen

Asymmetrische Verschlüsselungsverfahren

Masterarbeit OCRA Challenge/Response - Framework. Sideris Minovgioudis

8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur

Kryptographische Hash-Funktionen

RSA Full Domain Hash (RSA-FDH) Signaturen

Vorlesung Sicherheit

Sicherer MAC für Nachrichten beliebiger Länge

Kap. 2: Fail-Stop Unterschriften

IT-Sicherheit - Sicherheit vernetzter Systeme -

iterative Hashfunktionen

Technische Universität. Fakultät für Informatik

6: Passwörter und Entropie

Stromchiffre. Algorithmus Stromchiffre

Einführung in die Kryptographie ,

2. Realisierung von Integrität und Authentizität

Asymmetrische Verschlüsselungsverfahren

Digitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

RSA Full Domain Hash (RSA-FDH) Signaturen

Digitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Stromchiffre. Algorithmus Stromchiffre

Digitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.

Prinzipien der modernen Kryptographie Sicherheit

Digitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise

Digitale Signaturen. Einführung Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Hashfunktionen. Roman Brunnemann Stephan Müller. 23. November Einleitung Anforderungen Konstruktion Beispiel MD5 MD5 vs.

INSTITUT FÜR THEORETISCHE INFORMATIK, PROF. SANDERS

Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011

Wiederholung: Informationssicherheit Ziele

CPA-Sicherheit ist ungenügend

Asymmetrische Verschlüsselungsverfahren

Ich bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing,

Authentikation und digitale Signatur

Übung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel

Hybride Verschlüsselungsverfahren

6: Diskrete Wahrscheinlichkeit

Pseudo-Zufallsgeneratoren basierend auf dem DLP

In beiden Fällen auf Datenauthentizität und -integrität extra achten.

Das Generalized Birthday Problem

Prinzipien der modernen Kryptographie Sicherheit

Das Zweikinderproblem

Ein typisches Problem

Einführung in die Kryptographie

Dank. Grundlagen der Theoretischen Informatik / Einführung in die Theoretische Informatik I. Probleme über Sprachen. Teil II.

Rabin Verschlüsselung 1979

Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012

Kryptographie und Komplexität

Existenz von Einwegfunktionen

4.4.1 Statisches perfektes Hashing. des Bildbereichs {0, 1,..., n 1} der Hashfunktionen und S U, S = m n, eine Menge von Schlüsseln.

Sicherheit von Merkle Signaturen

Vektorräume. Stefan Ruzika. 24. April Mathematisches Institut Universität Koblenz-Landau Campus Koblenz

Kryptographie und Fehlertoleranz für Digitale Magazine

Kryptographische Hashfunktionen: Historie, Angriffe und aktuell sichere Standards

Satz 18 (Satz von der totalen Wahrscheinlichkeit)

EINIGE GRUNDLAGEN DER KRYPTOGRAPHIE

Vorlesung Sicherheit

Ununterscheidbarkeit von Chiffretexten

Homomorphe Verschlüsselung

Sichere Hashfunktionen

1 Kryptografische Hashverfahren

Transkript:

Vorlesung Sicherheit Jörn Müller-Quade ITI, KIT basierend auf den Folien von Dennis Hofheinz, Sommersemester 2014 02.05.2016 1 / 22

Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion 2 / 22

Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion 3 / 22

Erinnerung Hashfunktion Kurzer Fingerabdruck großer Daten: H : {0, 1} {0, 1} k Keine Kollisionen (X X mit H(X) = H(X )) Problem: Kollisionen existieren zwangsläufig Bestmöglich: Kollisionen schwer zu finden Für unsere Zwecke (kryptographische Hashfunktion): Definition (Kollisionsresistenz, informell) Eine Hashfunktion H ist kollisionsresistent, wenn jeder effiziente Algorithmus nur mit kleiner Wahrscheinlichkeit eine Kollision findet. 4 / 22

Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion 5 / 22

Formalisierungen Diskussion: Wie könnte Formalisierung aussehen? Was könnte ein effizienter Algorithmus sein? Was könnte eine kleine Wahrscheinlichkeit sein? 6 / 22

Sicherheitsparameter Asymptotische Definition Idee: Sicherheitsparameter k N parametrisiert System Beispiel: H = H k mit H k : {0, 1} {0, 1} k Intuition: größeres k mehr Sicherheit 7 / 22

Effizienz und kleine Wahrscheinlichkeiten Effizient: Polynomialzeit (in k), kurz: PPT Beispiel: Algorithmus, der Kollision durch vollständige Suche aller X {0, 1} k+1 findet, ist nicht effizient Kleine Wahrscheinlichkeit: vernachlässigbar (in k) f : N R vernachlässigbar : f verschwindet asymptotisch schneller als Kehrwehrt jedes vorgegebenen Polynoms Formal: f vernachlässigbar : c k 0 k k 0 : f (k) k c Beispiel: 1/2 k vernachlässigbar, aber 1/k nicht Alternative (auch üblich, anwendungsnäher, unhandlicher): konkrete Sicherheit (Verfahren ist (t(k), ε(k))-sicher) Rückblick IND-CPA (letzte VL): Auch hier ist mit klein vernachlässigbar gemeint! 8 / 22

Kollisionsresistenz (formal) Definition (Kollisionsresistenz) Eine über k parametrisierte Funktion H ist kollisionsresistent, wenn jeder PPT-Algorithmus nur mit höchstens vernachlässigbarer Wahrscheinlichkeit eine Kollision findet. Genauer: für jeden PPT-Algorithmus A ist [ ] Adv cr H,A(k) := Pr (X, X ) A(1 k ) : X X H k (X) = H k (X ) vernachlässigbar. 9 / 22

Einwegeigenschaft Weitere nützliche Eigenschaft von H: Einwegfunktion Für Hashfunktionen auch Preimage Resistance genannt Intuition: gegeben H(X), schwierig, X zu finden (Einwegfunktionen zentrales Konzept in Kryptographie) 10 / 22

Einwegeigenschaft Einwegfunktionen z.b. nützlich für Passwortabfragen 1 Server speichert H(pass) statt pass 2 Benutzer gibt pass ein 3 Server testet H(pass)? = H(pass ) Kollisionsresistenz äquivalent zu pass? = pass (oder Benutzer/Angreifer findet Kollision) Einwegeigenschaft Server findet pass nicht heraus Noch besser (vorgreifend): gesalzene Passwörter Server speichert (R, H(pass, R)) für zufälliges R Verschiedene Server können Passwörter nicht vergleichen 11 / 22

Einwegeigenschaft Intuition: gegeben H(X) ist es schwierig, X zu finden Frage: wie sollte X {0, 1} dabei verteilt sein? Bei wenigen Kandidaten -X Raten möglich Grundsätzlich möglich: Pr [X = X ] > 0 für alle X {0, 1} Aber: was sind wahrscheinliche Urbilder? Üblich, aber nicht immer realistisch für Anwendung: X gleichverteilt über endlicher Teilmenge 12 / 22

Einwegeigenschaft Definition (Einwegfunktion) Eine über k parametrisierte Funktion H ist eine Einwegfunktion bzgl. der Urbildverteilungen {X k } k, wenn jeder PPT-Algorithmus nur mit höchstens vernachlässigbarer Wahrscheinlichkeit ein Urbild eines gegebenen, aus X k gezogenen Bildes findet. Genauer: für jeden PPT-Algorithmus A ist [ ] Adv ow H,A(k) := Pr X A(1 k, H(X)) : H(X) = H(X ) vernachlässigbar, wobei X X k gewählt wurde. Bemerkung: A muss nicht notwendig X = X zurückgeben 13 / 22

Kollisionsresistenz und Einwegeigenschaft Theorem (Kollisionsresistenz Einwegeigenschaft) Jede kollisionsresistente Hashfunktion H : {0, 1} {0, 1} k ist eine Einwegfunktion bzgl. der Gleichverteilung auf {0, 1} 2k. Beweis. Wir geben zu jedem H-Invertierer A einen H-Kollisionsfinder B an mit Adv cr H,B(k) 1 2 Advow H,A(k) 1/2 k+1 B wählt X {0, 1} 2k glv., setzt X A(1 k, H(X)), gibt (X, X ) aus Bei H(X) = H(X ) ist X = X mit Wahrscheinlichkeit 1/ H 1 (H(X)) Mit Wahrscheinlichkeit 1 1/2 k hat H(X) mehr als ein Urbild Zusammengenommen hat B Erfolg 1/2 Adv ow H,A(k) 1/2 k+1 14 / 22

Weitere Sicherheitseigenschaften Weitere Sicherheitseigenschaft: Target Collision Resistance Auch: Second Preimage Resistance, Universal One-Way Informell: gegeben X, finde X mit H(X) = H(X ) Wird impliziert von Kollisionsresistenz Impliziert Einwegeigenschaft Beispielszenario: Sicherheit von Zertifikaten Gegeben ein Zertifikat eines gehashten Public Keys...... finde einen neuen Public Key, für den dieses Zertifikat gilt 15 / 22

Überblick 1 Hashfunktionen Erinnerung Formalisierung Die Merkle-Damgård-Konstruktion 16 / 22

Merkle-Damgård-Konstruktion Ziel: Hashfunktion H MD aus einfacherem Baustein bauen Baustein: Kompressionsfunktion F : {0, 1} 2k {0, 1} k Konstruktion: Quelle: rsa.com Wichtig: Padding enthält Nachrichtenlänge 17 / 22

Sicherheit von Merkle-Damgård Theorem Ist F kollisionsresistent, so ist auch H MD kollisionsresistent. Beweis. Geg. X X mit H MD (X) = H MD (X ), finde F-Kollision Schreibe X = (X i ) n i=1, X = (X i )n i=1 (mit X i, X i {0, 1} k ) MD-Zwischenwerte: Z 0 := IV, Z i := F(Z i 1, X i ) (Z i analog) Es ist Z n = F(Z n 1, X n ) = F(Z n 1, X n ) = Z n Z n 1 Z n 1 oder X n X n F-Kollision Andernfalls ist X n = X n (und damit n = n ), und weiter Z n 1 = F(Z n 2, X n 1 ) = F(Z n 2, X n 1 ) = Z n 1... wegen X X kann nicht Z i = Z i i sein F-Kollision 18 / 22

Bedeutung von Merkle-Damgård Mehrere (fast) aktuelle Hashfunktionen beeinflusst von MD MD5 (vorgeschlagen 1992) SHA-1 (vorgeschlagen 1995) SHA-2 (vorgeschlagen 2001) MD5 und SHA-1 mittlerweile gebrochen Aktueller Hash-Standard SHA-3 ( Keccak ) nutzt MD nicht 19 / 22

Beispiel: SHA-1 (Kompressionsfunktion) 512 160 32 A B C D E 20 Runden mit f 1 A B C 20 Runden mit f 2 D E A B C 20 Runden mit f 3 D E A B C 20 Runden mit f4 D E + + + + + 160 20 / 22

Beispiel: SHA-1 (Rundenfunktion) A B C D E f t + S 5 + + W t S 30 + K t A B C D E 21 / 22

Angriffe auf SHA-1 Kollisionen für eine Runde leicht zu finden Grundidee: erweitere Kollisionen auf mehrere Runden Auch Fast-Kollisionen (H(X) H(X )) nützlich Bruch von SHA-1 2005: zunächst theoretische 53-Runden-Kollision danach theoretische (volle) 80-Runden-Kollision Allerdings Angriffe bislang theoretisch Aufwand etwa 2 61 Schritte 22 / 22

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback