Vorlesung Sicherheit

Ähnliche Dokumente
Vorlesung Sicherheit

Vorlesung Sicherheit

Digitale Unterschriften Grundlagen der digitalen Unterschriften Hash-Then-Sign Unterschriften Public-Key Infrastrukturen (PKI) Digitale Signaturen

Voll homomorpe Verschlüsselung

Vorlesung Sicherheit

Digitale Signaturen. Sven Tabbert

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am

Vorlesung Sicherheit

11. Das RSA Verfahren und andere Verfahren

Sicherheit von hybrider Verschlüsselung

Authentikation und digitale Signatur

Elliptische Kurven in der Kryptographie

10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen

Homomorphe Verschlüsselung

Effizienten MAC-Konstruktion aus der Praxis: NMAC Idee von NMAC:

8: Zufallsorakel. Wir suchen: Einfache mathematische Abstraktion für Hashfunktionen

Vorlesung Sicherheit

Erste Vorlesung Kryptographie

9 Schlüsseleinigung, Schlüsselaustausch

Verschlüsselung. Chiffrat. Eve

10. Public-Key Kryptographie

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer

Vorlesung Sicherheit

RSA Full Domain Hash (RSA-FDH) Signaturen

Informatik für Ökonomen II HS 09

Nachrichten- Verschlüsselung Mit S/MIME

U3L Ffm Verfahren zur Datenverschlüsselung

IT-Sicherheit Kapitel 3 Public Key Kryptographie

ElGamal Verschlüsselungsverfahren (1984)

Kryptographische Verfahren auf Basis des Diskreten Logarithmus

Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur

Zur Sicherheit von RSA

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau

10. Kryptographie. Was ist Kryptographie?

Kap. 2: Fail-Stop Unterschriften

Primzahlen und RSA-Verschlüsselung

Mitschrift Vorlesung Einführung in die Kryptographie vom 18. Januar 2011

Linux User Group Tübingen

Verschlüsselung. Kirchstraße 18 Steinfelderstraße Birkweiler Bad Bergzabern Fabian Simon Bfit09

Programmiertechnik II

Public-Key-Algorithmen WS2015/2016

Computeralgebra in der Lehre am Beispiel Kryptografie

RSA Full Domain Hash (RSA-FDH) Signaturen

RSA Verfahren. Kapitel 7 p. 103

Cryptoparty: Einführung

27. Algorithmus der Woche Public-Key-Kryptographie Verschlüsseln mit öffentlichen Schlüsseln

Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser

Stammtisch Zertifikate

-Verschlüsselung

Leichte-Sprache-Bilder

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise

Kryptographie mit elliptischen Kurven

Modul Diskrete Mathematik WiSe 2011/12

Kurze Einführung in kryptographische Grundlagen.

Lenstras Algorithmus für Faktorisierung

Import des persönlichen Zertifikats in Outlook 2003

Zertifikate an der RWTH

Zusammenfassung der Vorlesung vom

-Zertifikatsverwaltung

Projekt u23 Symmetrische Kryptografie, Betriebsmodi von Blockchiffren

Kryptographie II. Introduction to Modern Cryptography. Jonathan Katz & Yehuda Lindell

Seminar zur Kryptologie

-Verschlüsselung mit GPG. Von der Key-Erzeugung zur verschlüsselten . Chemnitzer Linux-Tage März 2010 Vortrag

Qualitätsbedingungen schulischer Inklusion für Kinder und Jugendliche mit dem Förderschwerpunkt Körperliche und motorische Entwicklung

Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere

Regeln für das Qualitäts-Siegel

Grundlagen der Verschlüsselung und Authentifizierung (2)

-Verschlüsselung mit S/MIME

Kryptographie eine erste Ubersicht

Digitale Magazine ohne eigenen Speicher

Algorithmische Kryptographie

Vorlesung Sicherheit

Arbeit zur Lebens-Geschichte mit Menschen mit Behinderung Ein Papier des Bundesverbands evangelische Behindertenhilfe e.v.

12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce

Umstellung des Schlüsselpaares der Elektronischen Unterschrift von A003 (768 Bit) auf A004 (1024 Bit)

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

Kap. 8: Speziell gewählte Kurven

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Kryptographie Reine Mathematik in den Geheimdiensten

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie

Zahlen und das Hüten von Geheimnissen (G. Wiese, 23. April 2009)

Die Invaliden-Versicherung ändert sich

RSA-Verschlüsselung. Verfahren zur Erzeugung der beiden Schlüssel:

6.2 Perfekte Sicherheit

Installation Benutzerzertifikat

Allgemeine Erläuterungen zu

Bedienungsanleitung für den Online-Shop

Grundlagen der Kryptographie

Kundenleitfaden zur Sicheren per WebMail

Import des persönlichen Zertifikats in Outlook Express

Kryptographie. Ich doch hab nichts zu verbergen. IT-Security Bootcamp. Ziel. Was also tun? asymmetrisch. symmetrisch

Einführung in PGP/GPG Mailverschlüsselung

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Anleitung Thunderbird Verschlu sselung

! " # $ " % & Nicki Wruck worldwidewruck

Verteilte Systeme Unsicherheit in Verteilten Systemen

CryptoCampagne. Thomas Funke Fachbereich Informatik Universität Hamburg

Inhalt. Seminar: Codes und Kryptographie

Transkript:

Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 26.05.2014 1 / 32

Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign Der Digital Signature Algorithm Zusammenfassung 3 Schlüsselaustauschprotokolle Motivation Symmetrische Verfahren 2 / 32

Juhuu, endlich ein Kryptographie-Wettbewerb! Superschurke Doktor Meta ist zurück! (Achtung, Klischees.) Und er hat Anette Gui, die Freundin unseres Superhelden Max Security an einen geheimen Ort entführt! Aus dramaturgischen Gründen schickt Doktor Meta ein ElGamal-Chiffrat mit dem Versteck an seine Schergen. Allerdings macht Doktor Meta hierbei einen Fehler... Helft Max, Anette zu finden! Brecht das ElGamal-Chiffrat! Wer uns als Erste(r) das Versteck nennt (mit Wegbeschreibung), erhält einen wertvollen Preis! 3 / 32

Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign Der Digital Signature Algorithm Zusammenfassung 3 Schlüsselaustauschprotokolle Motivation Symmetrische Verfahren 4 / 32

Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign Der Digital Signature Algorithm Zusammenfassung 3 Schlüsselaustauschprotokolle Motivation Symmetrische Verfahren 5 / 32

Erinnerung Grundidee: Alice pk (M,σ) Bob sk Signieren: σ Sig(sk, M) Verifizieren: Ver(pk, M, σ) {0, 1} Standard-Sicherheitsbegriff: EUF-CMA 6 / 32

Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign Der Digital Signature Algorithm Zusammenfassung 3 Schlüsselaustauschprotokolle Motivation Symmetrische Verfahren 7 / 32

RSA als Signaturschema Erinnerung RSA-Signaturen: pk = (N, e) sk = (N, d) Sig(sk, M) = M d mod N Ver(pk, M, σ) = 1 : M = σ e mod N 8 / 32

Probleme von RSA-Signaturen Sig(sk, M) = M d mod N Ver(pk, M, σ) = 1 : M = σ e mod N Problem: unsinnige Nachrichten können signiert werden 1 Wähle zuerst Signatur σ Z N beliebig 2 Setze dann M := σ e mod N 3 Damit ist σ gültige RSA-Signatur für M Bricht EUF-CMA-Sicherheit, (künstliche) problematische Anwendungen denkbar 9 / 32

Probleme von RSA-Signaturen Sig(sk, M) = M d mod N Ver(pk, M, σ) = 1 : M = σ e mod N Weiteres Problem: Homomorphie von RSA 1 Angenommen, σ i = M d i mod N bekannt (für einige i) 2 Setze dann σ := i σ i = i Md i = ( i M i) d mod N 3 Damit ist σ gültige RSA-Signatur für M := i M i Neue Signaturen lassen sich aus bekannten berechnen Bricht auch EUF-CMA-Sicherheit, (leicht weniger künstliche) problematische Anwendungen denkbar 10 / 32

Lösungsvorschläge? Diskussion: Wie könnte man RSA-Signaturen reparieren? 11 / 32

RSA-PSS (RSA-)PSS: Probabilistic Signature Scheme Idee von RSA-PSS: Vorverarbeitung (Padding) der Nachricht: Sig(sk, M) = (pad(m)) d mod N Ver(pk, M, σ) = 1 : σ e mod N gültiges pad(m) 12 / 32

RSA-PSS Padding einer Nachricht: pad(m) (Quelle: Wikipedia) 13 / 32

RSA-PSS Verifikation einer gepaddeten Nachricht: (Quelle: Wikipedia) 14 / 32

Sicherheit von RSA-PSS RSA-PSS heuristisch (mit idealen H, MGF) EUF-CMA-sicher, sofern RSA-Funktion schwer zu invertieren Jeder EUF-CMA-Angreifer muss RSA-Funktion invertieren RSA-PSS (wie RSA-OAEP) Teil von PKCS#1 Bester bekannter Angriff: N faktorisieren (Zahlkörpersieb) Parameterwahl wie bei RSA-OAEP (somit log 2 (N) 2048) Festes, kleines e (z.b. e = 3) möglich effiziente Verifikation 15 / 32

Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign Der Digital Signature Algorithm Zusammenfassung 3 Schlüsselaustauschprotokolle Motivation Symmetrische Verfahren 16 / 32

Hin zu ElGamal-Signaturen Signaturverfahren über zyklischer Gruppe G = g Wie bei Verschlüsselung: pk = (G, g, g x ), sk = (G, g, x) Erster Versuch: Sig(sk, M) = a mit a x = M mod G Ver(pk, M, σ) = 1 : (g x ) a = g M Frage: warum problematisch? 17 / 32

ElGamal-Signaturen Erster Versuch: pk = (G, g, g x ), sk = (G, g, x), und Sig(sk, M) = a mit a x = M mod G Zweiter Versuch (ElGamal-Signaturen): setze a := g e für zufälliges e b als Lösung von a x + e b = M mod G Sig(sk, M) = (a, b) Ver(pk, M, σ) = 1 : (g x ) a a b = g M Achtung: a = g e wird sowohl als G-Element als auch als Exponent interpretiert (zunächst nur für G = Z p gedacht) 18 / 32

Angriffe auf ElGamal-Signaturen Erinnerung: σ = (a = g e, b) mit a x + e b = M mod G Nie zweimal dasselbe e (für verschiedene M) verwenden: Sonst: (a = g e, b, M) und (a = g e = a, b, M ) bekannt mit a x + e b = M mod G a x + e b = M mod G Daraus folgt e = (M M )/(b b ) mod G und damit x Wird bei zufälliger Wahl von e vernachlässigbar oft passieren 19 / 32

Angriffe auf ElGamal-Signaturen Erinnerung: σ = (a = g e, b) mit a x + e b = M mod G ElGamal-Signaturen wie RSA nicht EUF-CMA-sicher: (a, b) = (g x, a) gültig für M = a x + e b = 0 mod G Randomisierung Signaturen für unsinnige Nachrichten 1 Wähle c zufällig 2 Setze a := g c g x = g c+x und b := a mod G 3 Damit ist (a, b) gültige Signatur für die Nachricht M := a x + e b = a x a(c + x) = ac mod G Frage: wie kann ElGamal repariert werden? 20 / 32

Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign Der Digital Signature Algorithm Zusammenfassung 3 Schlüsselaustauschprotokolle Motivation Symmetrische Verfahren 21 / 32

Hash-Then-Sign-Paradigma Theorem (Sicherheit des Hash-Then-Sign-Paradigmas) Sei (Gen, Sig, Ver) EUF-CMA-sicher und H eine kollisionsresistente Hashfunktion. Dann ist das durch Gen (1 k ) = Gen(1 k ) Sig (sk, M) = Sig(sk, H(M)) Ver (pk, M, σ) = Ver(pk, H(M), σ) erklärte Signaturverfahren EUF-CMA-sicher. Beweis wie im MAC-Fall (Reduktion) Vorteil: Angriffe, die Signaturen für unsinnige Nachrichten liefern, müssen nicht mehr funktionieren 22 / 32

Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign Der Digital Signature Algorithm Zusammenfassung 3 Schlüsselaustauschprotokolle Motivation Symmetrische Verfahren 23 / 32

Der Digital Signature Algorithm Erinnerung ElGamal: σ = (a = g e, b) mit a x + e b = M mod G Digital Signature Algorithm (DSA): σ = (a = g e, b) mit a x + e b = H(M) mod G (hierbei H kollisionsresistente Hashfunktion) EUF-CMA-Sicherheit gegenwärtig unklar Vorgeschlagene Gruppen: G Z P oder G F q (wobei G 2 2048 ) Elliptische Kurven: G = E(F q ) (mit G 2 200 ) 24 / 32

Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign Der Digital Signature Algorithm Zusammenfassung 3 Schlüsselaustauschprotokolle Motivation Symmetrische Verfahren 25 / 32

Zusammenfassung digitale Signaturen Digitale Signaturen sichern Integrität/Authentizität Asymmetrisches Gegenstück zu MACs Sicherheitskriterium: EUF-CMA Wichtige Verfahren: RSA(-PSS), ElGamal/DSA Wichtig: Verfahren nicht ungepadded/ungehasht benutzen! 26 / 32

Aktuelle Forschung digitale Signaturen Gitterbasierte Signaturen (asymptotische Effizienz) NTRU(-Verschlüsselung, -Signaturen) Delegierbare Signaturen Problem: momentan noch sperrige Signatur-/Schlüsselgrößen Pairingbasierte Signaturen (effizient, platzsparend) Automorphe Signaturen (Zero-Knowledge-kompatibel) Delegierbare Signaturen 27 / 32

Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign Der Digital Signature Algorithm Zusammenfassung 3 Schlüsselaustauschprotokolle Motivation Symmetrische Verfahren 28 / 32

Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign Der Digital Signature Algorithm Zusammenfassung 3 Schlüsselaustauschprotokolle Motivation Symmetrische Verfahren 29 / 32

Motivation Ziel: gemeinsamen geheimen Schlüssel K aushandeln Alice Bob Kommunikationskanal unsicher, aber K soll geheim bleiben Verschiedene Szenarien denkbar: Altes K schon vorhanden (frisches K gewünscht) Secret-Key-Infrastruktur (mit Schlüsselzentrale) Alice hat K A, Bob hat K B, Schlüsselzentrale kennt K A und K B Public-Key-Infrastruktur pk A und pk B öffentlich, Alice kennt sk A, Bob kennt sk B Alice und Bob haben gemeinsames Passwort Alice und Bob haben keine weiteren Informationen Prinzipbedingt unsicher gegen aktive Angriffe 30 / 32

Überblick 1 Hinweis 2 Asymmetrische Authentifikation von Nachrichten Erinnerung RSA als Signaturschema ElGamal-Signaturen Hash-Then-Sign Der Digital Signature Algorithm Zusammenfassung 3 Schlüsselaustauschprotokolle Motivation Symmetrische Verfahren 31 / 32

Symmetrische Verfahren Szenario mit Schlüsselzentrum KC: Alice KA Bob KB Key Center (KC) KA,K B Alice kennt K A, Bob kennt K B, KC kennt K A und K B Kommunikation mit KC möglich, soll aber minimiert werden Werkzeug der Wahl: symmetrische Verschlüsselung (Enc, Dec) Grund: Effizienz, Lösungen allein mit (Enc, Dec) möglich 32 / 32

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback