In beiden Fällen auf Datenauthentizität und -integrität extra achten.

Ähnliche Dokumente
In beiden Fällen auf Datenauthentizität und -integrität extra achten.

Message Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell

Gruppenbasierte Kryptographie. ElGamal Sicherheit. Drei Probleme. ElGamal Verschlüsselung. Benutzt zyklische Gruppen von (fast) Primzahlordnung:

Sicherheit von Merkle Signaturen

Wiederholung: Informationssicherheit Ziele

Digitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)

Kryptographie und Komplexität

Betriebsarten von Blockchiffren. ECB Electronic Code Book Mode. Padding. ECB Electronic Code Book Mode

Stromchiffre. Algorithmus Stromchiffre

Stromchiffre. Algorithmus Stromchiffre

Pseudozufallsgeneratoren

RSA Full Domain Hash (RSA-FDH) Signaturen

Hashfunktionen und Kollisionen

Vorlesung Sicherheit

Übungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade

Kryptographische Zufallszahlen. Schieberegister, Output-Feedback

Netzsicherheit 9: Das Internet und Public-Key-Infrastrukturen

Kryptographie und Komplexität

Homomorphe Verschlüsselung

Digitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle

Hybride Verschlüsselungsverfahren

Vorlesung Sicherheit

RSA Full Domain Hash (RSA-FDH) Signaturen

Vorlesung Sicherheit

Kryptologie. K l a u s u r WS 2006/2007, Prof. Dr. Harald Baier

IT-Sicherheit: Kryptographie

Kryptographie - eine mathematische Einführung

Bemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle

Systemsicherheit 8: Das Internet und Public-Key-Infratrukturen

Name:... Vorname:... Matrikel-Nr.:... Studienfach:...

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur

Das Generalized Birthday Problem

Stefan Lucks Krypto und Mediensicherheit (2009) 4: Stromchiffren

Kryptographische Systeme (M, C, K, e, d) Symmetrische Verfahren (gleicher Schlüssel zum Verschlüsseln und Entschlüsseln):

Vorlesung Sicherheit

Betriebssysteme und Sicherheit Sicherheit. Florian Kerschbaum TU Dresden Wintersemester 2011/12

IT-Security. Teil 15: Zufall

2. Realisierung von Integrität und Authentizität

Merkle-Damgard Transformation

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise

Einführung in die Kryptographie ,

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur

Verlässliche Verteilte Systeme 1. Prof. Dr. Felix Gärtner. Basiswissen Kryptographie

Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Beliebige Anzahl von Signaturen

Hashfunktionen. Roman Brunnemann Stephan Müller. 23. November Einleitung Anforderungen Konstruktion Beispiel MD5 MD5 vs.

Einführung in die Kryptographie

Kryptographie und Komplexität

Betriebsarten für Blockchiffren

Übung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise

Vorlesung Sicherheit

VIII. Digitale Signaturen

Erzeugung von Pseudozufallszahlen

Einführung in die Kryptographie

Socrative-Fragen aus der Übung vom

Digitale Signaturen. Kapitel 8

6: Diskrete Wahrscheinlichkeit

Authentikation und digitale Signatur

Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Vorlesung Sicherheit

Angriffe auf RC4. Andreas Klein. Tagung der Fachgruppe Computeralgebra, Kassel Universität Kassel

Kryptographie. Nachricht

Kryptographie und Komplexität

Voll homomorpe Verschlüsselung

Urbild Angriff auf Inkrementelle Hashfunktionen

Einwegfunktionen. Problemseminar. Komplexitätstheorie und Kryptographie. Martin Huschenbett. 30. Oktober 2008

Die (Un-)Sicherheit von DES

Lösungen zu. Grundlagen der Kryptologie SS Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159

Inhaltsverzeichnis. Wolfgang Ertel. Angewandte Kryptographie. ISBN (Buch): ISBN (E-Book):

Kap. 2: Fail-Stop Unterschriften

6.3 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen. die Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde

Übung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel

Vorlesung Sicherheit

Grundlagen der Kryptographie

Beweisbar sichere Verschlüsselung

9.5 Blockverschlüsselung

Password: Mein Geheimnis in Händen Dritter

Einführung in die. Kryptographie WS 2016/ Lösungsblatt

10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen

Wireless Security. IT Security Workshop Moritz Grauel Matthias Naber

Kapitel 7: Kryptographische Hash- Funktionen. IT-Sicherheit

1. Welche Eigenschaften sollte ein Pseudo-Random Generator haben?

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen

Sicherheit im Internet

CPA-Sicherheit ist ungenügend

Symmetrische und Asymmetrische Kryptographie. Technik Seminar 2012

8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen

Übungen zu. Grundlagen der Kryptologie SS Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159

Sicherheit von hybrider Verschlüsselung

Kapitel 4: Flusschiffren

Grundlagen der Verschlüsselung und Authentifizierung (1)

12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce

Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012

Digitale Signaturen. Sven Tabbert

8 Komplexitätstheorie und Kryptologie

Einführung in die Kryptographie

Zufallszahlen in AntBrain

Transkript:

Stromchiffren Verschlüsseln eines Stroms von Daten m i (Bits/Bytes) mithilfe eines Schlüsselstroms k i in die Chiffretexte c i. Idee: Im One-Time Pad den zufälligen Schlüssel durch eine pseudo-zufällige Folge k i ersetzen, welche vom Schlüssel k abhängt. Aus kurzem Schlüssel k langen Schlüssel (...,k i,...) machen. Keine perfekte Sicherheit. Komplexitätstheoretische Sicherheit, wenn pseudo-zufällige Folge nicht von einer echt zufälligen Folge effizient unterschieden werden kann. Stromchiffren Eigenschaften synchroner Stromchiffren: Sender/Empfänger müssen synchronisiert sein. Keine Fehlerfortpflanzung. Änderung von Chiffretext c i möglich. Eigenschaften selbst-synchroner Stromchiffren: Nach Übertragungsfehler Selbstsynchronisation, wenn t konsekutive Chiffretexte richtig übertragen werden. Beschränkte Fehlerfortpflanzung in maximal t folgende Entschlüsselungen. Änderung von Chiffretext c i leichter erkennbar als bei synchronen Stromchiffren, Einfügen/Ausschneiden von c i schwerer erkennbar. In beiden Fällen auf Datenauthentizität und -integrität extra achten. 1 7. November 2006 3 7. November 2006 Stromchiffren Synchrone Stromchiffren: k i abhängig von k, unabhängig von m i. σ i+1 = f (σ i,k) (Zustände), k i = g(σ i,k), c i =E(k i,m i ), m i =D(k i,c i ). Selbst-synchrone Stromchiffren: k i abhängig von k und c i. σ i = (c i t,...,c i 1 ) für ein festes t, k i = g(σ i,k), c i =E(k i,m i ), m i =D(k i,c i ). MeistensE (x,y) =D(x,y) = x y. Wichtiges Beispiel: OFB, CTR, CFB für Blockchiffren. Schlüsselstromerzeugung Für synchrone Stromchiffren wird ein Schlüsselstrom benötigt. Darf nicht von einer zufälligen Bitfolge effizient unterscheidbar sein. Pseudozufallsbitgeneratoren. Nimmt kurze Eingabe (seed) und produziert lange, zufällige Ausgabe. Statistische Tests von Algorithmen durchführbar. Kryptographisch sicher, wenn alle statistischen Tests bestanden werden. Konstruktionen für Schlüsselstromerzeugung: Linear Feedback Shift Register (LFSR, nicht sicher). Lineare Kongruenzgeneratoren (nicht sicher). Ausgabe von Blockchiffren wie in OFB, CTR (vermutlich sicher).... 2 7. November 2006 4 7. November 2006

Lineare Feedback Shift Register Zustands- bzw. Schlüsselstromerzeugung durch Lineare Feedback Shift Register (LFSR): Betrachten σ i aus F 2. Startwerte σ 0,...,σ l 1. Rekursion: σ j = a 1 σ j 1 + + a l σ j l. Maximale Periode 2 l 1 für geeignete Wahl der a i möglich. ( x l + a 1 x l 1 + + a l prim und Nullstelle ist Erzeuger von (F 2 l). ) Lineare Kongruenzgeneratoren Lineare Kongruenzgeneratoren. Rechnen in Z/(m). σ i+1 = aσ i + b mod m. Eigenschaften: Software-geeignet. Viel für nicht kryptographische Anwendungen benutzt. Allerdings nicht kryptographisch sicher, da leicht vorhersagbar. Lineare Komplexität einer Folge σ 0,σ 1,...: Kleinstes l, für das die Folge durch ein LFSR mit geeigneten a 1,...,a l entsteht. LFSR s sind schnell in Hardware! 5 7. November 2006 7 7. November 2006 Lineare Feedback Shift Register Die Ausgabe eines LFSR ist leicht vorherzusagen (die a i können mit dem Berlekamp-Massey Algorithmus aus wenigen σ i berechnet werden). Daher nicht für kryptographische Zwecke geeignet. Lösung (teilweise): Mehrere LFSR nicht-linear kombinieren. Ausgabe von Blockchiffren Im OFB, CTR und CFC Mode wird der Schlüsselstrom als Ausgabe eines Blockchiffres definiert. Die Philosophie hier ist ungefähr: Verhält sich der Blockchiffre wie eine zufällige Permutation, so ergibt dies einen zufälligen Schlüsselstrom. Brauchen mindestens: Große Periode. Große lineare Komplexität. Gute statistische Eigenschaften. Sicherheit bei der Verwendung von LFSR s dann häufig trotzdem etwas vage... 6 7. November 2006 8 7. November 2006

RC4 RC = Ron s Cipher nach Ron Rivest (Mitgründer von RSA). RC4 sehr schneller Stromchiffre: 1987 entwickelt, 7 Jahre geheim, 1994 anonym im Internet veröffentlicht, kommerziell (Lizenzgebühren). In RC4 wird im folgenden speziell m = 256 verwendet. Klartext und Schlüsselstrom werden gexored. Ist weit verbreitet (Oracle SQL, Windows, SSL, IEEE 802.11 WLAN Standard,... ) Hat gewisse Sicherheitsschwächen (WEP in IEEE 802.11). Integrität und Authentizität Werden nicht durch Verschlüsselung bereitgestellt! Integrität Problem bei Verschlüsselung von nicht redundanten Daten (komprimierte Dateien, geheime Schlüssel). Idee: Geeignete kryptographische Prüfsummen mitschicken. Davon gibt es zwei Typen: Manipulation Detection Codes (MDC), Hashfunktionen ohne Schlüssel. Liefert Fingerprint oder Message Digest. Message Authentication Codes (MAC), Hashfunktionen mit Schlüssel. Hashfunktionen haben vielfache Verwendung nicht nur bei Verschlüsselung (Unterschriften, Pseudozufallszahlen, Wörterbücher...) 9 7. November 2006 11 7. November 2006 RC4 Alle Berechnungen modulo m: i, j Z/(m), S 0,...,S m 1 Z/(m). Schlüssel k besteht aus a i Z/(m) für 0 i l 1. Sollte in der Praxis einen IV enthalten. (!) Initialisierung: S ν ν für 0 ν m 1. j 0. Für i = 0,...,m 1: j j + S i + a i mod l, vertausche S i und S j. Neues Schlüsselstromglied berechnen: Zum Anfang i 0, j 0. Dann: i i + 1, j j + S i, S i und S j vertauschen, t S i + S j. Ausgabe S t. 10 7. November 2006 Sicherheitsmerkmale Seien X,Y Mengen und f : X Y. Bildwerte f (x) sollen mit einem Algorithmus effizient berechenbar sein. Aufgaben: 1. (Urbild berechnen) Zu y Y ein x X mit f (x) = y bestimmen. 2. (Zweites Urbild berechnen) Zu x X ein x X mit x x und f (x) = f (x ) bestimmen. 3. (Kollision finden) x,x X mit x x und f (x) = f (x ) bestimmen. Def: Eine Funktion heißt Einwegfunktion, wenn es keinen effizienten Algorithmus gibt, der Aufgabe 1 mit signifikanter Wahrscheinlichkeit löst. Def: Eine Funktion heißt (schwach) kollisionsresistent, wenn es keinen effizienten Algorithmus gibt, der Aufgabe 2 (Aufgabe 3) mit signifikanter Wahrscheinlichkeit löst. 12 7. November 2006

Effizient und signifikant Effiziente Laufzeit und signifikante Erfolgswahrscheinlichkeit eines Algorithmus A kann man quantitativ oder qualitativ angeben. Quantitativ: Für eine speziell vorgelegte Situation. Effizient = Laufzeit 2 40 Bitops, signifikant = Erfolgswahrscheinlichkeit 2 40... Qualitativ: Gemessen in der Bitlänge k der Eingabe von A. Dann effizient = Laufzeit polynomiell in k, signifikant = Erfolgswahrscheinlichkeit nicht vernachlässigbar in k. Wenn man in der Kryptographie sagt, daß es keinen in k effizienten Angreifer A mit signifikanter Erfolgswahrscheinlichkeit gibt, dann nennt man k häufig Sicherheitsparameter. Zurück zu Einweg- und kollisionsresisten Funktionen Um von Einweg- und kollisionsresistenten Funktionen im qualitativen Sinn sprechen zu können, betrachtet man eine Familie von Funktionen f k : X k Y k und k. Es soll einen Algorithmus geben, welcher Bildwerte f k (x) nach Eingabe von 1 k,x effizient berechnet. Auf der anderen Seite soll es keinen Algorithmus geben, der Urbilder oder Kollisionen mit signifikanter Wahrscheinlichkeit unter Eingabe von k,y bzw. x effizient berechnen kann. Hieraus folgen beispielsweise Größenbedingungen an X k und Y k in Abhängigkeit von k. 13 7. November 2006 15 7. November 2006 Polynomiell und vernachlässigbar Eine Funktion g : R 0 R heißt polynomiell (in k), wenn es ein Polynom P R 0 [x] und k 0 R 0 gibt, so daß g(k) P(k) für alle k k 0. Eine Funktion g : R 0 R heißt vernachlässigbar (in k), wenn es für jedes Polynom Q R 0 [x] ein k 0 R 0 gibt, so daß g(k) 1/Q(k) für alle k k 0. Hashfunktionen Def: Seien X,Y,Z Mengen mit #Z < #Y < und #X =. Eine Hashfunktion ist eine Funktion h : X Z. Eine Kompressionsfunktion ist eine Funktion h : Y Z. Meistens X = {0,1}, Y = {0,1} m, Z = {0,1} n mit m > n. Sind nicht injektiv! Wieder Forderung: Bildwerte von Hash- und Kompressionsfunktionen sollen effizient durch Algorithmen nach Eingabe der Argumente berechnet werden können. 14 7. November 2006 16 7. November 2006

Zwei Anwendungen 1. Paßworte: In der Paßwortdatei sind nur die Hashwerte der Paßwörter gespeichert. Beim Einloggen wird der Hashwert des eingegeben Paßworts berechnet und mit dem gespeicherten verglichen. Paßwortdatei soll nicht unbedingt lesegeschützt sein Hashfunktion soll Einwegfunktion sein. Aber: Dictionary Angriffe (mögliche Paßworte ausprobieren und Hashwerte vergleichen). 2. Unterschriften: Nicht das Dokument, sondern nur den Hashwert unterschreiben. Angreifer soll kein zweites Dokument mit dem gleichen Hashwert berechnen können Hashfunktion soll kollisionsresistent sein. Hashsimulation durch Orakel Bei einer Anfrage nach dem Hashwert von x geht das Orakel wie folgt vor: Das Orakel überpüft, ob h(x) schon einmal erfragt und berechnet wurde, wenn ja, dann wird dieser Wert zurückgegeben. nein, dann wird ein zufälliger Wert zurückgegeben und als h(x) gespeichert. Insofern wird wirklich eine zufällige Funktion h : X Z definiert. Eine Orakelanfrage zählt in der Laufzeit eines Algorithmus als ein Schritt (konstante Zeit). Die Anzahl der Orakelanfragen wird üblicherweise angegeben und sollte polynomiell sein. 17 7. November 2006 19 7. November 2006 Zufallsorakelmodell Auch Random Oracle Model (RO). Ist theoretische Herangehensweise. Hashfunktionen werden idealisiert als zufällige Funktionen modelliert. Ermöglicht und vereinfacht Untersuchungen und Sicherheitsbeweise. Man kann eine zufällige Hashfunktion nicht effizient als ganzes beschreiben. Realisierung/Simulierung durch ein Orakel. Angriffe im Zufallsorakelmodell Sei h : X Z mit #Z = n. Angriff auf Einweg-Eigenschaft von h: Angreifer berechnet s Hashwerte durch Anfragen an das Orakel. Mit Wahrscheinlichkeit (1 1/n) s ist Zielwert y nicht darunter. Mit Wahrscheinlichkeit (1 (1 1/n) s ) + (1 1/n) s /n kann er das richtige Urbild x raten. Angriff auf die schwache Kollisonsresistenz von h: Ähnlich wie bei der Einweg-Eigenschaft. Aufgrund des Zufallsorakelmodells gibt es auch keine Strategien, die eine bessere Erfolgswahrscheinlichkeit haben würden. 18 7. November 2006 20 7. November 2006

Angriffe im Zufallsorakelmodell Schreibe n = 2 k. Der Beitrag (1 1/n) s /n ist vernachlässigbar in k, unabhängig von s. Für einen in k polynomiellen Algorithmus muß s polynomiell sein. Wegen (1 1/n) s 1 s/n ist 1 (1 1/n) s s/n. Dies ist ebenfalls vernachlässigbar in k. Damit ist die Erfolgswahrscheinlichkeit vernachlässigbar, wenn s nur polynomiell ist. Umgekehrt sind ungefähr 2 k Orakelanfragen erforderlich, um eine konstante Erfolgswahrscheinlichkeit zu haben. Folgerung: Eine Hashfunktion im Zufallsorakelmodell ist eine Einwegfunktion und schwach kollisionsresistent. Angriffe im Zufallsorakelmodell Angriff auf die Kollisionsresistenz von h: Angreifer berechnet s 1.18 n Hashwerte durch Anfragen an das Orakel. Befindet sich unter den Hashwerten eine Kollision, so wird diese ausgegeben. Nach dem Geburtstagsparadoxon ist die Wahrscheinlichkeit hierfür > 1/2. Speicherbedarf ca. n. Zum Speichern der Hashwerte eine Tabelle anlegen und nach den ersten log 2 ( n) Bits der Hashwerte indizieren. Beim Suchen direkt im entsprechenden Tabellenfeld nachschauen, ob bereits Hashwert definiert bzw. das zugehörige x eingetragen wurde. 21 7. November 2006 23 7. November 2006 Geburtstagsparadoxon Thm: Wählen wir aus n 2 16 Elementen k 1.18 n zufällig mit Zurücklegen aus, so haben wir mit Wahrscheinlichkeit > 1/2 mindestens ein Element mindestens zweimal ausgewählt. Bew: Sei X i das Ereignis, daß das i-te gewählte Element nicht mit einem der vorherigen übereinstimmt. Dann gilt Pr(X i X 1,...,X i 1 ) = 1 (i 1)/n und Pr(X 1,...,X k ) = k i=1(1 (i 1)/n). Aus 1 + x e x folgt k i=1(1 (i 1)/n) k i=1 e (i 1)/n e k(k 1)/(2n). Für das angegebene n und k gilt e k(k 1)/(2n) < 1/2. Somit erhalten wir eine Doppelauswahl mit Wahrscheinlichkeit > 1/2. Auf der anderen Seite ergibt sich aus k i=1(1 (i 1)/n) (1 k/n) k 1 k 2 /n die obere Schranke k 2 /n für die Wahrscheinlichkeit einer Doppelauswahl. 22 7. November 2006

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback