Digitale Signaturen Einführung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft www.kit.edu
Outline Organisatorisches Überblick Einführung (Kap. 1) Definition (Kap. 1.1) Sicherheit (Kap. 1.2) 1 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Organisatorisches Vorlesung, Freitags, 11:30-13:00 Uhr, HS -102 Dozenten: Gunnar Hartung (gunnar.hartung@kit.edu) Björn Kaidel (bjoern.kaidel@kit.edu) Sprechstunden: Nach Vereinbarung Vorlesungswebsite: https://crypto.iti.kit.edu/index.php?id=ds-wise-16 2 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Organisatorisches Vorlesung, Freitags, 11:30-13:00 Uhr, HS -102 Dozenten: Gunnar Hartung (gunnar.hartung@kit.edu) Björn Kaidel (bjoern.kaidel@kit.edu) Sprechstunden: Nach Vereinbarung Vorlesungswebsite: https://crypto.iti.kit.edu/index.php?id=ds-wise-16 Prüfung: mündlich Prüfbar im Master Informatik Prüfbar als Einzelprüfung...... im Vertiefungsfach Kryptographie oder Wahlfach Im Bachelor nur auf Antrag 2 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Literatur Vorlesungsskript (von Tibor Jager) Wir werden manche Dinge geringfügig anders machen Wir sagen das dann aber ausdrücklich! Digital Signatures (von Jonathan Katz) Alle Kapitel aus Uni-Netz abrufbar! Links auf Website 3 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Literatur Vorlesungsskript (von Tibor Jager) Wir werden manche Dinge geringfügig anders machen Wir sagen das dann aber ausdrücklich! Digital Signatures (von Jonathan Katz) Alle Kapitel aus Uni-Netz abrufbar! Links auf Website Wichtig: Folien Wir werden Folien & Tafel verwenden Folien ersetzen nicht das Skript/Tafelanschrieb! Stoff nicht komplett auf den Folien Folien ˆ= Leitfaden 3 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Socrative https://b.socrative.com/login/student/ Room: SIGNATUREN App um Quizze durchzuführen Zugang durch Browser oder App Als Quizteilnehmer kein Account notwendig Bitte jetzt einloggen, falls ihr mitmachen wollt :) 4 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Überblick Was sind digitale Signaturen? Im Folgenden: Signatur ˆ= digitale Signatur Was ist Sicherheit? Wie beweist man Sicherheit? Techniken & Konstruktionen Aktuelle Forschung 5 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Inhalt Etwas genauer... Grundlagen Einmalsignaturen Mehrfach-/Baum-basierte Signaturen RSA-basierte Signaturen Chamäleon-Hashfunktionen & -Signaturen Pairing-basierte Signaturen Signaturen in der Praxis evtl. fortgeschrittene Themen Nicht in dieser VL: symmetrische Signaturen, MACs 6 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Einführung (I) - Kap. 1 Ziel: Kryptographische Verfahren, die das gleiche leisten, wie eine Unterschrift. Folgendes soll sichergestellt werden: Authentizität Dokument von einer bestimmten Person signiert Integrität signiertes Dokument ist unverändert 7 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Einführung (II) Auf Papier: bekannt (aber wie gut ist das eigentlich?) Digital: Signieren von Bitstrings aus {0, 1} Programme, Datenbanken, Websites, E-Mails,... 8 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Was sind Signaturen? Informell: asymmetrische Verfahren Schlüsselpaar (pk, sk) Mit sk kann signiert werden, Signatur σ sk bleibt geheim Geg. (m, σ) kann mit pk überprüft werden, ob σ gültig pk ist öffentlich, jeder kann überprüfen 9 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Was sind Signaturen nicht? (1) Signaturen sind keine Verschlüsselungsverfahren Nachrichten verstecken ist nicht das Ziel Daher: Nachricht kann aus Signatur (teilweise) ableitbar sein 10 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Was sind Signaturen nicht? (2) Signieren ist Verschlüsseln mit dem geheimen Schlüssel eines PKE-Verfahrens! FALSCH! Einzige (schlechte) Ausnahme: RSA Verschlüsselungsverfahren können nicht ohne Weiteres als Signaturen verwendet werden! 11 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Anwendungen Ideen? 12 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Anwendungen Zertifikate (digital signierte Schlüssel) Elektronischer Zahlungsverkehr Betriebssystem-Updates neuer Personalausweis Apps Theorie: Baustein zur Konstruktion anderer Verfahren... 12 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Definition: Digitale Signaturen - Kap. 1.1 Def. 1: (Digitale Signaturen) Ein digitales Signaturverfahren ist ein Tupel Σ = (Gen, Sign, Vfy) von probabilistischen Poly-Zeit- Algorithmen: 13 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Definition: Digitale Signaturen - Kap. 1.1 Def. 1: (Digitale Signaturen) Ein digitales Signaturverfahren ist ein Tupel Σ = (Gen, Sign, Vfy) von probabilistischen Poly-Zeit- Algorithmen: Gen(1 k ) (pk, sk) 13 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Definition: Digitale Signaturen - Kap. 1.1 Def. 1: (Digitale Signaturen) Ein digitales Signaturverfahren ist ein Tupel Σ = (Gen, Sign, Vfy) von probabilistischen Poly-Zeit- Algorithmen: Gen(1 k ) (pk, sk) Sign(1 k, sk, m) σ, m {0, 1} p(k), p Polynom 13 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Definition: Digitale Signaturen - Kap. 1.1 Def. 1: (Digitale Signaturen) Ein digitales Signaturverfahren ist ein Tupel Σ = (Gen, Sign, Vfy) von probabilistischen Poly-Zeit- Algorithmen: Gen(1 k ) (pk, sk) Sign(1 k, sk, m) σ, m {0, 1} p(k), p Polynom { Vfy(1 k 1, wenn σ gültig,, pk, m, σ) = 0, sonst Anmerkung: 1 k lassen wir im Folgenden weg bei Sign & Vfy. 13 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Digitale Signaturen: Correctness Correctness: Das Verfahren funktioniert. Formal: (pk, sk) Gen(1 k ) m {0, 1} p(k) : Vfy(pk, m, Sign(sk, m)) = 1. 14 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Digitale Signaturen: Soundness Soundness: Das Verfahren ist sicher. Formal: Was ist Sicherheit? Müssen wir definieren! 15 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Hinweis: Begriffsdurcheinander Deutsche Übersetzungen (z.b.in Lehrbüchern) von Correctness & Soundness: Correctness ˆ= Durchführbarkeit Soundness ˆ= Korrektheit Problem also: Correctness = Korrektheit?! Deshalb verwenden wir in der VL die englischen Begriffe! 16 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Sicherheit - Kap. 1.2 Angreifermodell: Was kann der Angreifer? Welche Angriffsmöglichkeiten stehen zur Verfügung? Angreiferziel: Was muss der Angreifer tun, um das Verfahren zu brechen? 17 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Sicherheit - Kap. 1.2 Angreifermodell: Was kann der Angreifer? Welche Angriffsmöglichkeiten stehen zur Verfügung? Angreiferziel: Was muss der Angreifer tun, um das Verfahren zu brechen? Jetzt: Überblick. Später: Formale Definitionen. 17 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Angreifermodelle/-ziele (Socrative) https://b.socrative.com/login/student/ Room: SIGNATUREN Ideen für Angreifermodelle? Ideen für Angreiferziele? 18 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Angreifermodelle 1 a) no-message-attack Angreifer erhält nur pk. 19 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Angreifermodelle 1 a) no-message-attack Angreifer erhält nur pk. 1 b) non-adaptive chosen-message attack (nacma) Angreifer wählt m 1,..., m q Erhält danach pk und Signaturen σ 1,..., σ q 19 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Angreifermodelle 1 a) no-message-attack Angreifer erhält nur pk. 1 b) non-adaptive chosen-message attack (nacma) Angreifer wählt m 1,..., m q Erhält danach pk und Signaturen σ 1,..., σ q 1 c) (adaptive) chosen-mesage attack (CMA) Angreifer erhält pk, wählt dann (adaptiv) m 1,..., m q und erhält Signaturen σ 1,..., σ q Adaptiv: Darf Wahl von m i abhängig von schon bekannten σ j (j < i) und pk machen. 19 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Angreiferziele Generelles Ziel: Signaturen fälschen 20 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Angreiferziele Generelles Ziel: Signaturen fälschen 2 a) Universal Unforgeability (UUF) Angreifer muss vorgegebene Nachricht m signieren m wird zufällig gewählt 20 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Angreiferziele Generelles Ziel: Signaturen fälschen 2 a) Universal Unforgeability (UUF) Angreifer muss vorgegebene Nachricht m signieren m wird zufällig gewählt 2 b) Existential Unforgeablility (EUF) Angreifer muss beliebige (von ihm gewählte) Nachricht m signieren 20 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung
Sicherheitsdefinitionen Sicherheitsdefinition ˆ= Angreiferziel + Angreifermodell Wichtige Kombinationen : EUF-CMA EUF-naCMA 21 2016-10-21 G. Hartung, B. Kaidel Digitale Signaturen: Einführung