Schwächere Sicherheitskonzepte

Hashfunktionen und Kollisionen

DefinitionHashfunktion

EineHashfunktionist ein Paar(Gen,H)von pt Algorithmen mit

1 Gen:s←Gen(1ⁿ).Genist probabilistisch.

2 H:H_sberechnet Funktion{0,1}^∗ → {0,1}^`.H_s ist deterministisch.

SpielHashCollA,Π(n)

1 s←Gen(1ⁿ)

2 (x,x⁰)← A(s)

3 HashCollA,Π(n) =

(1 fallsH_s(x) =H_s(x⁰)undx 6=x⁰

0 sonst .

DefinitionKollisionsresistenz

Eine HashfunktionΠheißtkollisionsresistent, falls für alle pptAgilt Ws[HashCollA,Π(n) =1]≤negl(n).

Spiel HashColl

HashCollA,Π(n)

s←Gen(1ⁿ) (1ⁿ, s)

Ausgabe:

(1 fallsHs(x) =Hs(x⁰)

0 sonst

A

Berechne:

x6=x⁰∈ {0,1}^∗ (x, x⁰)

Schwächere Sicherheitskonzepte

2.Urbild Resistenz Gegeben: s,x

Gesucht: x⁰ 6=x mitH_s(x⁰) =H_s(x)

SatzKollisionresistenz impliziert 2.Urbild Resistenz SeiΠkollisionsresistent. Dann istΠ2.Urbild resistent.

Beweis:

SeiAein 2.Urbild Angreifer aufΠ = (Gen,H)mit Erfolgsws(n).

Algorithmus AngreiferA⁰ auf Kollisionsresistenz EINGABE:s

1 Wählex ∈ {0,1}^∗.

2 x⁰ ← A(s,x) AUSGABE:x,x⁰

Offenbar giltWs[HashColl_A⁰_,Π] =(n)

Schwächere Sicherheitskonzepte

Urbild Resistenz

Gegeben: s,y =Hs(x) Gesucht: x⁰ mitH_s(x⁰) =y

Satz2.Urbild Resistenz impliziert Urbild Resistenz

SeiΠ2.Urbild resistent und komprimierend. Dann istΠUrbild resistent Beweisskizze:SeiAein Urbild Angreifer aufΠmit Erfolgsws. Algorithmus AngreiferA⁰ auf 2.Urbild

EINGABE:s,x

1 Berechney =Hs(x).

2 x⁰ ← A(s,y)

AUSGABE:x,x⁰ fallsx 6=x⁰

Es giltx 6=x⁰ mit signifikanter Ws, fallsH seine Eingabe komprimiert, d.h. der Urbildraum ist größer als der Bildraum.

Damit ist Kollisionsresistenz derstärkste Sicherheitsbegriff.

Geburtstagsangriff auf Hashfunktionen

Algorithmus Geburtstagsangriff EINGABE:smitH_s:{0,1}^∗ → {0,1}^`

1 Wähle verschiedenex₁, . . . ,xq∈ {0,1}^∗ für geeignetesq.

2 Berechney_i =Hs(x_i)füri=1, . . . ,qund sortiere diey_i.

3 Finde in der sortierten Listex_i,x_j mity_i =y_j. AUSGABE:x_i,x_j mitH_s(x_i) =H_s(x_j)

Anmerkungen:

Annahme:y_i sind zufällig gleichverteilt in{0,1}^`.

Geburtstagsproblem: Fürq=2^`2 +1 erhalten wir mit Ws mind 1−e⁻¹² eine Kollisiony_i =y_j in Schritt 3. (Übung)

Die Auswertung vonHs koste konstante LaufzeitO(1).

Dann besitzt der Algorithmus LaufzeitO(qlogq) =O(`·2<sup>`2</sup>).

Konsequenz für Hashfunktionen:

Wir benötigen mindestens Ausgabelänge`=160 Bit.

Merkle-Damgard Transformation

Ziel:KonstruiereH :{0,1}^∗ → {0,1}^{`</sup> aush:{0,1}<sup>2`} → {0,1}^`. Algorithmus Merkle-Damgard Konstruktion

Sei(Gen,h)eine kollisionsresistente Hashfunktion mit h:{0,1}^{2`</sup>→ {0,1}<sup>`}. Wir konstruieren(Gen,H)wie folgt.

1 Gen:s←Gen(1ⁿ).

2 H:Bei Eingabesundx ∈ {0,1}^L:

I Erweiterex mit Nullen, bis die Länge ein Vielfaches von`ist.

I Schreibex =x1. . .xBmitxi ∈ {0,1}<sup>`</sup>undB=d<sup>L</sup><sub>`</sub>e.

I SetzexB+1=L(binär kodiert). Initialisierez0:=0^`, berechne zi :=hs(zi−1||x_i)füri =1, . . . ,B+1.

Ausgabe des HashwertsH_s(x) :=z_B+1.

Merkle Damgard Konstruktion

z₀ = 0ⁿ x1

hs z₁

x2

hs z₂. . . z_B

xB+1=L

hs H_s(x)

Sicherheit der Merkle-Damgard Konstruktion

SatzSicherheit der Merkle-Damgard Konstruktion

SeiΠ_h= (Gen,h)kollisionsresistent. Dann ist auchΠ_H = (Gen,H) kollisionsresistent.

Beweis:

SeiAein Angreifer fürHs mit Erfolgsws(n).

Wir konstruieren einen AngreiferA⁰fürh_s. Algorithmus AngreiferA⁰

EINGABE:s

1 (x,x⁰)← A(s). Seix ∈ {0,1}^Lundx⁰ ∈ {0,1}^L0. Seienx₁. . .x_B undx₁⁰. . .x_B⁰0 die mit Nullen erweiterte Darstellung vonx,x⁰.

2 FallsL6=L⁰, setzey :=z_B||x_B+1=z_b||L,y⁰:=z_B⁰0||x_B⁰0+1=z_B⁰0||L⁰

3 Sonst seii maximal mitz_i−1||x_i 6=z_i−1⁰ ||x_i⁰ (existiert wegenx 6=x⁰).

Setzey :=z_i−1||x_i undy⁰:=z_i−1⁰ ||x_i⁰. AUSGABE:(y,y⁰)miths(y) =hs(y⁰)

Sicherheit der Merkle-Damgard Konstruktion

Korrektheit:Wir zeigenhs(y) =hs(y⁰)füry 6=y⁰. Damit folgt negl(n)≥Ws[HashCollA⁰,Πh(n) =1] =Ws[HashCollA,ΠH(n) =1] =(n).

Fall 1:L6=L⁰

Dann giltx_B+16=x_B+1⁰ und H_s(x) =z_B+1=h_s(z_B||x_B+1

| {z }

y

) =h_s(z_B⁰0||x_B⁰0+1

| {z }

y⁰

) =z_B⁰0+1=H_s(x⁰).

Fall 2:L=L⁰

Seii maximal mitz_i−1||x_i 6=z_i−1⁰ ||x_i⁰. Aus der Maximalität voni folgtz_i =z_i⁰. Damit giltz_i =hs(zi−1||x_i

| {z }

y

) =hs(z_i−1⁰ ||x_i⁰

| {z }

y⁰

) =z_i⁰.

Hashfunktionen in der Praxis

Praktische Hashfunktionen verwenden gewöhnlich keins.

Damit sind sie im theoretischen Sinne nicht kollisionsresistent, da ein trivialer Angriff existiert, der eine Kollision ausgibt.

Trotzdem können die bestenbekanntenAngriffe natürlich KomplexitätΩ(2ⁿ²)besitzen.

Fast alle Hashfunktionen verwenden eine Kompressionsfunktion in Kombination mit der Merkle-Damgard Transformation.

Als kollisionsresistent in der Praxis gelten derzeit z.B. SHA-2, TIGER, Whirlpool, FORK-256.

Als nicht kollisionsresistent gelten: SHA-0, SHA-1, MD4, MD5, RIPEMD, Snefru, HAVAL, PANAMA, SMASH, etc.

Kryptanalyse 2004 für SHA-0, SHA-1, MD4, MD5 von Wang et al.

Seit 2008 Hash Algorithm Competition für neuen NIST-Standard.

Finalisten (Dez 2010): BLAKE, Grøstl, JH, Keccak, Skein.

Effizienten MAC-Konstruktion mittels Hashfunktionen

Idee von NMAC:

Hashem∈ {0,1}^∗auf einen Hashwert in{0,1}ⁿ.

VerwendeΠ_MAC3für Nachrichten fixer Länge auf dem Hashwert.

Wir konstruierenΠ_MAC3mittels schlüsselabhängiger Hashfunktion, bei der ein Teil des Hasharguments aus dem Schlüssel besteht.

Algorithmus MACΠ_MAC3 für Nachrichten fester Längen Sei(Gen_h,h)eine kollisionsresistente Hashfkth:{0,1}²ⁿ→ {0,1}ⁿ.

1 Gen:s←Gen_h(1ⁿ),skann öffentlich sein. Wählek₁∈_R{0,1}ⁿ.

2 Mac:Bei Eingabe(s,k₁)undm∈ {0,1}ⁿ, berechne t :=hs(k₁||m).

3 Vrfy:Bei Eingabe(s,k₁)und(m,t)∈ {0,1}ⁿ× {0,1}ⁿ, verifiziere t=^? h_s(k₁||m).

NMAC

Notation:SeiH_s^IV eine Merkle-Damgard Hashfunktion, bei der der Initialisierungsvektor auf den WertIV gesetzt ist.

Algorithmus NMAC (Nested MAC)

SeiΠ_h= (Gen_h,h),Π_MAC3= (Gen⁰,Mac⁰,Vrfy⁰)wie zuvor. Sei (Gen_h,H)die Merkle-Damgard Transformation von(Gen_h,h).

1 Gen:s←Gen_h(1ⁿ). Wähle Schlüsselk₁,k₂∈_R {0,1}ⁿ.

2 Mac:Bei Eingabe(s,k₁,k₂)undm∈ {0,1}ⁿ, berechne t :=Mac_s,k⁰

1(H_s^k2(m)) =h_s(k₁||H_s^k2(m)).

3 Vrfy:Bei Eingabe(s,k₁,k₂)und(m,t)∈ {0,1}^∗× {0,1}ⁿ, Ausgabe=

(1 fallst=Mac_s,k1,k2(m)

0 sonst .

Praxis-Variante:Fixieres, d.h. einzelne Hash-Funktion (z.B. SHA-1).

Anmerkung:Wir können auchk₂=0ⁿsetzen. Vorteil von Schlüssel k₂: Sicherheit kann auch unter schwächerer Annahme gezeigt werden.

NMAC

k2

m₁

h_s m₂

h_s . . . L

h_s

k₁ h_s t

Sicherheit von NMAC

SatzSicherheit von NMAC

SeiΠ_h= (Gen_h,h)kollisionsresistent und seiΠ_MAC3sicher. Dann ist auch NMAC sicher.

Beweisskizze:

SeiAein Angreifer für NMAC.

AstelleMac(·)Orakelanfragen ausQ={m₁, . . . ,mq}.

Anschließend gebeAgültiges(m,t)aus mitm∈/ Q.

Fall 1:Es existiert einj ∈[q]mitH_s^k2(m) =H_s^k2(m_j).

Wegenm6=m_j ist(m,m_j)eine Kollision fürH_s^k2.

Nach Merkle-Damgard Konstruktion liefert dies Kollision fürhs. Fall 2:Es giltH_s^k2(m)6=H_s^k2(m_i)für allei∈[q].

SeiQ⁰ ={H_s^k2(m)|m∈Q}. Es giltH_s^k2(m)∈/ Q⁰. Damit ist(H_s^k2(m),t)eine gültige Fälschung fürΠ_MAC3.

HMAC – Hash-Based MAC

Nachteil von NMAC:Benötigen das Setzen von IV inH.

Idee von HMAC:

Erzeugek₁,k₂durch Vorschalten einer Anwendung vonh_s. Definieren Konstantenopad,ipad und berechnen

k₁=hs(IV||k⊕opad)undk₂=hs(IV||k⊕ipad).

Algorithmus HMAC

Sei(Gen_h,H)wie zuvor. Seienopad,ipad ∈ {0,1}ⁿkonstant.

1 Gen:s∈Gen_h(1ⁿ). Wählek ∈_R{0,1}ⁿ.

2 Mac:Für(s,k)undm∈ {0,1}^∗berechne

Mac_s,k(m) =Hs(k ⊕opad||H_s(k ⊕ipad||m)).

3 Vrfy:Für(s,k)und(m,t)∈ {0,1}^∗× {0,1}ⁿ, verifiziere t=^? Mac_s,k(m).

Anmerkung:

Mac_s,k(m) =H_s(k ⊕opad||H_s(k ⊕ipad||m)

| {z }

H^k2(m)

) =H_s^k1(H_s^k2(m)).

Krypto I - Vorlesung 12 - 09.01.2012 () Sicherheit Merkle-Damgard, NMAC und HMAC mittels Hashfunktionen 146 / 149

HMAC

IV k⊕ipad

hs

m1

hs . . . L

hs

k⊕opad

h_s

IV h_s t

HMAC ist eine Variante von NMAC

Wir berechnen beim HMAC den MAC-WertH_s^k1(H_s^k2(m)).

D.h. die äußere HashfunktionH_s^k1 wird stets auf einen

NachrichtenblockH_s^k2(m)∈ {0,1}ⁿfester Länge angewendet.

Daher ist das Anhängen der Nachrichtenlänge beiH_s^k1 unnötig.

Entspricht der Berechnung vonh^k_s¹(H_s^k2(m)), analog zu NMAC.

D.h. HMAC ist ein Spezialfall von NMAC, wobeik₁undk₂ausk mittels Anwendung vonh_s abgeleitet werden.

Wir definieren den folgenden Pseudozufallsgenerator G(k) =hs(IV||k ⊕opad)

| {z }

k₁

||hs(IV||k ⊕ipad)

| {z }

k₂

.

KorollarSicherheit von HMAC mittels Sicherheit von NMAC SeiGein Pseudozufallsgenerator,(Gen⁰,h)kollisionsresistent und Π_MAC3sicher. Dann ist die HMAC-Konstruktion sicher.

Praktische Bedeutung von HMAC

Anwendung von HMAC:

Vorgestellt 1996 von Bellare, Canetti und Krawczyk.

HMAC wird in der Praxis oft in Kombination mit SHA-1 verwendet.

HMAC findet Anwendung z.B. in den Protokollen Internet Protocol Security (IPSec) und Transport Layer Security (TLS).

Wurde 1998 standardisiert und ist weitverbreitet in der Praxis.

HMAC ist im Vergleich zum CBC-MAC deutlich schneller.