Sicherheit von Merkle Signaturen

Ähnliche Dokumente
Ziel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.

Beliebige Anzahl von Signaturen

Homomorphe Verschlüsselung

Rabin Verschlüsselung 1979

Hardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.

Die (Un-)Sicherheit von DES

Einwegfunktionen Ziel: CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später: CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm.

CPA-Sicherheit ist ungenügend

Hybride Verschlüsselungsverfahren

RSA Full Domain Hash (RSA-FDH) Signaturen

Existenz von Einwegfunktionen

Sicherheit von ElGamal

Voll homomorpe Verschlüsselung

Stromchiffre. Algorithmus Stromchiffre

Digitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung)

RSA Full Domain Hash (RSA-FDH) Signaturen

Stromchiffre. Algorithmus Stromchiffre

Vorlesung Digitale Signaturen im Wintersemester 2016/-17. Socrative-Fragen aus der Vorlesung vom

Merkle-Damgard Transformation

Vorlesung Sicherheit

Digitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)

Kryptographie II Asymmetrische Kryptographie

Asymmetrische Verschlüsselungsverfahren

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise

Homomorphe Verschlüsselung

Prinzip 2 Präzisierung der Annahmen

Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Hashfunktionen und Kollisionen

Ununterscheidbarkeit von Chiffretexten

Ununterscheidbarkeit von Chiffretexten

Definition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.

Ununterscheidbarkeit von Chiffretexten

Kryptographie II Asymmetrische Kryptographie

ElGamal Verschlüsselungsverfahren (1984)

Prinzipien der modernen Kryptographie Sicherheit

Vorlesung Sicherheit

Prinzipien der modernen Kryptographie Sicherheit

Übung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 5. pk = (g, y) und sk = (g, x). ? = y H(t m) t. g s

Vorlesung Sicherheit

Vorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:

Institut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung

Vorlesung Sicherheit

Konstruktion CPA-sicherer Verschlüsselung

Digitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.

Prinzipien der modernen Kryptographie Sicherheit

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur Hinweise

Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Kapitel 8

Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017

Kryptographie II Asymmetrische Kryptographie

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösung Hinweise

VI.4 Elgamal. - vorgestellt 1985 von Taher Elgamal. - nach RSA das wichtigste Public-Key Verfahren

Digitale Signaturen. seuf-cma & Pairings Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise

Vorlesung Sicherheit

Übung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52

VIII. Digitale Signaturen

Das Quadratische Reste Problem

Das Generalized Birthday Problem

Digitale Signaturen. Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Asymmetrische Verschlüsselungsverfahren

Vorlesung Sicherheit

Gruppenbasierte Kryptographie. ElGamal Sicherheit. Drei Probleme. ElGamal Verschlüsselung. Benutzt zyklische Gruppen von (fast) Primzahlordnung:

Vorlesung Sicherheit

Sicherer MAC für Nachrichten beliebiger Länge

13. Woche: NP-Vollständigkeit Satz von Cook-Levin Anwendungen in der Kryptographie

Bemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle

Digitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle

Digitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.

Sicherheit von ElGamal Intuitiv: Eve soll c 2 = m g ab nicht von c 2 R G unterscheiden können.

Übungen zur Vorlesung Systemsicherheit

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösungsvorschlag Hinweise

Das Rucksackproblem. Definition Sprache Rucksack. Satz

Kryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman

Digitale Signaturen. Anwendung von Einmalsignaturen Björn Kaidel (mit Folien von Gunnar Hartung)

VII. Hashfunktionen und Authentifizierungscodes

Einführung in die Kryptographie

Digitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.

Asymmetrische Verschlüsselungsverfahren

In beiden Fällen auf Datenauthentizität und -integrität extra achten.

3: Primzahlen. 111 S. Lucks Diskr Strukt. (WS 18/19) 3: Primzahlen

3: Zahlentheorie / Primzahlen

Nachklausur zur Vorlesung Sicherheit Sommersemester 2012

Kryptographie und Komplexität

VI.3 RSA. - RSA benannt nach seinen Erfindern R. Rivest, A. Shamir und L. Adleman. - vorgestellt erstes Public-Key Verschlüsselungsverfahren

Vorlesung Sicherheit

Kryptographie II Asymmetrische Kryptographie

Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Einführung in die Kryptographie

Digitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Kryptographie II. Introduction to Modern Cryptography. Jonathan Katz & Yehuda Lindell

Sicherheit von hybrider Verschlüsselung

Transkript:

Sicherheit von Merkle Signaturen Algorithmus Angreifer A für die Einwegsignatur EINGABE: pk, Zugriff auf eine Anfrage an Orakel Sign sk ( ) 1 Berechne (pk (i), sk (i) ) Gen(1 n ) für i = 1,...,l. Wähle i R [l]. Ersetze pk (i ) durch pk. j 2 2 (m,σ ) A (pk (1) ). Signaturanfragen für m: For i 1 to n 1 Falls pkm i 0, pk m i 1 undefiniert, (pk m i 0, pk m i 1) (pk (j), pk (j+1) ). j j + 2 Berechne σm i, σ m und σ analog zu Merkle-Signaturen. Falls sk = sk (i ) benötigt, verwende das Signierorakel Sign sk ( ). 3 Sei σ = ((pk m i 0 pk m i 1,σ m i ) n 1 i=0,σ m) Fall 1: 0 i < n mit (pk m i 0 pk m i 1 ) (pk m i 0 pk m i 1). Sei i minimal. Dann gilt pk m i = pk m i = pk (k) für ein k [l]. Falls k = i, Ausgabe (pk m i 0 pk m i 1,σ m j ). Fall 2: Es gilt pk m = pk m = pk (k) für ein k [l]. Falls k = i, Ausgabe (m,σ m ). Krypto II - Vorlesung 13-06.07.2011 DSS Signaturen, Zertifizierung, Übersicht Krypto I+II 153 / 170

Sicherheit von Merkle Signaturen Beweis: Fortsetzung Verteilung der Nachrichten für A ist identisch zum Forge-Spiel. D.h. A liefert eine gültige Signatur (m,σ ) mit Ws ǫ(n). Sowohl für Fall 1 als auch für Fall 2 gilt Ws[k = i ] = 1 l. Wir nehmen im folgenden an, dass k = i. Fall 1: neuer Public-Key in Geschwisterknotenpaar. A stellte eventuell Orakelanfrage für Nachricht (pk m i 0 pk m i 1). Wegen (pk m i 0 pk m i 1 ) (pk m i 0 pk m i 1) ist σ m i bezüglich pk eine gültige Signatur für eine neue Nachricht. Fall 2: pk m existiert bereits. A kann nicht Orakelanfrage m gestellt haben, da er m ausgibt. Damit ist σ m eine gültige neue Signatur für m bezüglich pk. Insgesamt: negl(n) Ws[Forge einweg ǫ(n) A,Π (n) = 1] = l. Da l polynomiell ist, folgt ǫ(n) negl(n). Krypto II - Vorlesung 13-06.07.2011 DSS Signaturen, Zertifizierung, Übersicht Krypto I+II 154 / 170

Existenz CMA-sicherer Signatur Korollar Signatursatz Falls kollisionsresistente Hashfunktionen existieren, so existiert ein CMA-sicheres Signaturverfahren. Beweis: Unter der Annahme kollisionsresistenter Hashfunktionen existieren CMA-sichere Einwegsignaturen. Aus CMA-sicheren Einwegsignaturen können CMA-sichere Signaturen konstruiert werden. Anmerkung: Man kann sogar zeigen, dass ein CMA-sicheres Signaturverfahren existiert unter der Annahme der Existenz von Einwegfunktionen. Krypto II - Vorlesung 13-06.07.2011 DSS Signaturen, Zertifizierung, Übersicht Krypto I+II 155 / 170

Digital Signature Standard Schnorr Signaturen Systemparameter: Primzahlen p, q, wobei q Bitlänge n besitzt und q p 1, q 2 p 1. Generator g einer Untergruppe von Z p mit Ordnung q. Algorithmus Digital Signature Standard 1 Gen: (p, q, g, H) Gen(1 n ) mit Hashfunktion H : {0, 1} Z q. Wähle x R Z q, berechne y := g x mod p. Setze pk = (p, q, g, H, y), sk = (p, q, g, H, x). 2 Sign: Für m {0, 1}, wähle k R Z q und berechne r := (g k mod p) mod q und s := (H(m)+xr) k 1 mod q. Signatur σ = (r, s). 3 Vrfy: Für (m,σ) = (m, r, s) überprüfe r? = (g H(m) s 1 mod q y r s 1 mod q mod p) mod q. Krypto II - Vorlesung 13-06.07.2011 DSS Signaturen, Zertifizierung, Übersicht Krypto I+II 156 / 170

Eigenschaften des DSS Korrektheit: g H(m) s 1 y r s 1 = g H(m)(H(m)+xr) 1k g xr(h(m)+xr) 1k mod p = g (H(m)+xr) (H(m)+xr) 1 k = g k mod p. Parameterwahl: Bitlänge von p: 1024, Bitlänge n von q: 160. Die Signaturlänge von (r, s) Z 2 q ist damit nur 320 Bit. Dlog in Z p : subexponentieller Index-Calculus Algorithmus Dlog in g : Pollard-Rho mit Komplexität O(2 n 2). Sicherheit: Keine größeren Schwächen bekannt. Aber: DSS besitzt keinen Sicherheitsbeweis. Krypto II - Vorlesung 13-06.07.2011 DSS Signaturen, Zertifizierung, Übersicht Krypto I+II 157 / 170

Viele Public-Keys mittels eines Public Keys Zertifierung Zertifizierungsstelle CA (Certificate Authority) veröffentlicht pk CA. CA zertifiziert Schlüssel pk A eines Nutzers Alice mit Zertifikat cert CA A Sign skca (pk A ). Alice kann (pk A, cert CA A ) über unsicheren Kanal verschicken. CMA-Sicherheit des Signaturverfahrens verhindert erfolgreiches Fälschen eines Zertifikat für einen anderen Schlüssel pk A. D.h. mit nur einem öffentlichen Schlüssel kann eine CA beliebig viele weitere öffentliche Schlüssel zertifizieren. Liefert sogenannte Public-Key Infrastruktur. Krypto II - Vorlesung 13-06.07.2011 DSS Signaturen, Zertifizierung, Übersicht Krypto I+II 158 / 170

Übersicht Krypto I Abkürzungen: PRNG = Pseudozufallsgenerator PRF = Pseudozufallsfunktion. Funktionalität Sicherh. Konstrukt Annahme One-Time Pad perfekt m k keine Verschlüsselung Stromchiffre KPA m G(k) PRNG Blockchiffre CPA (r, m F k (r)) PRF (CBC, OFB, CTR) MAC unfälsch- F k (m) PRF bar Encrypt-then- CCA (c, t) = PRF Authenticate (Enc k1 (m), Mac k2 (c)) Krypto II - Vorlesung 13-06.07.2011 DSS Signaturen, Zertifizierung, Übersicht Krypto I+II 159 / 170

Übersicht Krypto II - Verschlüsselung Abkürzung: TD-OWP = Trapdoor-Einwegpermutation Funktionalität Konstrukt Annahme Schlüsselaustausch sicher Unterscheidungsannahme Diffie-Hellman g xy DDH: g xy g z PK Verschlüsselung CPA TD-OWP RSA (r e, hc(r) m) RSA-Annahme Rabin (x 2, lsb(x) m) Faktorisierungsannahme PK Verschlüsselung CPA (ROM) TD-OWP ROM-RSA (r e, H(r) m) RSA-Annahme PK Verschlüsselung CCA (ROM) TD-OWP + PRF ROM-RSA2 (r e, Enc H(r) (m)) RSA-Annahme PK Verschlüsselung CPA Unterscheidungsannahme ElGamal (g y, g xy m) DDH: g xy g z Goldwasser-Micali z m x 2 QR: QR N QNR +1 N Paillier (1+N) m r N DCR: r N mod N 2 r Krypto II - Vorlesung 13-06.07.2011 DSS Signaturen, Zertifizierung, Übersicht Krypto I+II 160 / 170

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback