Mann-in-der-Mitte Angriffe

Zusammenfassung

Hashfunktionen - mit geheimem Schl ¨ussel (MAC):

•h : K× {0,1}^∗→ {0,1}ⁿ.

•Ideal: Nicht von zuf ¨allig gew ¨ahlter Funktion f :{0,1}^∗→ {0,1}ⁿzu unterscheiden.

•Speziell: Niemand kann ohne Schl ¨usselkF ¨alschungen(x,y)mit y = hk(x)bestimmen.

•Konstruktion durch Blockchiffre (CBC-MAC) oder Kombination von Hashfunktionen (HMAC).

•Angestrebte Sicherheit: ca.2^n/2Aufwand f ¨ur F ¨alschung.

3 7. November 2008

Zusammenfassung

Pseudozufallszahlen bzw. -generatoren:

•h :{0,1}^m→ {0,1}^∗.

•Ideal:

”Zufallsfunktion“, nicht effizient von echten Zufallszahlen unterscheidbar.

•F ¨ur den seed muß man genug Entropie aus dem System sammeln ...

•Konstruktion durch durch Blockchiffre im CBC oder CTR Mode.

•Konstruktion durch Hashfunktionen.

Man kann zeigen, daß die folgenden Aussagen im wesentlichen

¨aquivalent sind:

•Es gibt Einwegfunktionen.

•Es gibt ideale Pseudozufallsgeneratoren.

•Es gibt ideale Blockchiffren.

4 7. November 2008

Zusammenfassung

Bisher symmetrische Kryptographie behandelt.

Verschl ¨usselung - Blockchiffren:

•E : K→S({0,1}^b),D ^{: K→S({0,1}b).}

•Ideal: F ¨ur zuf ¨alligesk∈K istE(k,·)nicht von zuf ¨allig gew ¨ahlter Funktion ausS({0,1}^b)effizient zu unterscheiden.

•Lange Nachrichten: Blockweiser Betrieb (CBC, CTR).

Verschl ¨usselung - Stromchiffren:

•Nachrichtenstrom wird durch⊕mit Schl ¨usselstrom verschl ¨usselt, initialisiert durch Schl ¨usselk∈K.

•Ideal: Schl ¨usselstrom zuf ¨allig (one time pad).

•Abschw ¨achung: Pseudozufallszahlen.

Angestrebte Sicherheit:#K, exhaustive Keysearch.

1 7. November 2008

Zusammenfassung

Hashfunktionen - ohne Schl ¨ussel (MDC):

•h :{0,1}^∗→ {0,1}ⁿ.

•Ideal: Zufallsfunktion→Betrachtung im Zufallsorakelmodell.

•Speziell: Kollisionsfrei und Einwegfunktion.

•Kurze Nachrichten: Kompressionsfunktion.

•Lange Nachrichten: Iterierung, Merkle-Damgard Konstruktion.

•Angestrebte Sicherheit: ca.2ⁿAufwand f ¨ur Urbilder, ca.2^n/2 Aufwand f ¨ur Kollision.

2 7. November 2008

Mann-in-der-Mitte Angriffe

Angenommen, Bob will mit Alice kommunizieren und Eve kontrolliert die Verbindung. Dann kann folgendes passieren:

•Bob fragt Alice nach ihrem ¨offentlichen Schl ¨ussel.

•Eve f ¨angt die Nachricht ab und schickt ihren eigenen ¨offentlichen Schl ¨ussel an Bob.

•Bob verschl ¨usselt seine Nachricht damit und schickt sie an Alice.

•Eve f ¨angt die Nachricht ab und entschl ¨usselt. Dann verschl ¨usselt sie die Nachricht mit Alice’s ¨offentlichem Schl ¨ussel und schickt dies an Alice.

•Weder Bob noch Alice sch ¨opfen Verdacht.

Dies ist ein prinzipielles Problem, was auch mit anderen Public-Key Verfahren auftritt.

7 7. November 2008

Zertifikate

Also Problem: Wie kann Bob sicher sein, daß ein ¨offentlicher Schl ¨ussel auch Alice geh ¨ort?

L ¨osung: Zertifizierungsbeh ¨orde (Certificate Authority, CA).

Die CA erstellt f ¨ur Alice eine digitale Unterschrift ihres ¨offentlichen Schl ¨ussels und identifizierender Information, z.B. Alice’s email Adresse oder Paßnummer. Bob ¨uberpr ¨uft dann die Unterschrift unter Verwendung des ¨offentlichen Schl ¨ussels der CA.

Woher weiß Bob, daß der ¨offentliche Schl ¨ussel der CA richtig ist?

”Den kennt ja jeder“. Problem ist auf nur wenige ¨offentliche Schl ¨ussel reduziert.

•Manchmal in Browsern fest eingebaut.

F ¨uhrt auf Public Key Infrastructure (PKI) ...

8 7. November 2008

Public-Key Kryptographie

Zwei Probleme mit der symmetrischen Kryptographie:

•Wie geheime Schl ¨ussel austauschen?

•nLeute haben paarweise verschiedene Schl ¨usselpaare: Also muß jedern(n−1)/2viele geheime Schl ¨ussel speichern. Ist nicht praktikabel.

Diese und weitere Probleme werden durch die Public-Key Kryptographie gel ¨ost.

Jeder Teilnehmer hat einen ¨offentlichen und einen geheimen Schl ¨ussel:

•Zum Verschl ¨usseln wird der ¨offentliche und zum Entschl ¨usseln der geheime Schl ¨ussel verwendet.

•Zum Unterschreiben wird der geheime und zum Verifizieren der

¨offentliche Schl ¨ussel verwendet.

5 7. November 2008

Hybridverschl ¨ usselung

Public-Key Kryptographie liefert viel neue Funktionalit ¨at.

Public-Key Verschl ¨usselung ist aber auch viel langsamer als symmetrische Verschl ¨usselung.

Daher Hybridverschl ¨usselung:

•Nachricht mit symmetrischen Verfahren verschl ¨usseln.

•Den zugeh ¨origen symmetrischen Schl ¨ussel mit Public-Key Verfahren verschl ¨usseln.

•Alles an Empf ¨anger schicken.

•Der entschl ¨usselt zun ¨achst den symmetrischen Schl ¨ussel, und dann die Nachricht.

6 7. November 2008

Einwegfunktionen mit Fallt ¨ ur

Sei f : M→Ceine Funktion des endlichen Nachrichten- und ChiffretextraumsMbzw.C.

• f soll eine Einwegfunktion sein.

•Mit Hilfe gewisser zus ¨atzlicher Informationendsoll es leicht sein, Urbilder unter f zu berechnen.

Dann nennt man diese InformationendFallt ¨ur-Informationen und f eine Fallt ¨ur-Einwegfunktion.

Ein injektives f liefert Kryptosystem:

•Verschl ¨usseln durchc←f (m).

•Entschl ¨usseln durchm←f⁻¹(c), mittels des geheimend.

Einwegfunktionen mit Fallt ¨ur basieren auf algorithmischen, zahlentheoretischen Problemen.

9 7. November 2008