CBC-MAC Sicherheit

Konstruktion von MACs

Folgende Konstruktionstypen k ¨onnen unterschieden werden:

•MACs aus Blockchiffren im CBC Modus.

•MACs aus MDCs.

•Spezielle Konstruktionen.

CBC-MACs sind sehr weit verbreitet.

•Standardisiert z.B. in FIPS-113 von 1985.

Erhalten in der Regel Sicherheit von nurlog₂(#H)/2Bits.

3 8. November 2007

Hash-then-Encrypt

Naheliegend, hat aber keine guten Eigenschaften.

hHashfunktion undE_kBlockchiffre.

MAC-Wert vonxistE_k(h(x)).

Nachteile:

•Kollisionen k ¨onnen ohnekbestimmt werden.

•Kollisionen haben gleichen MAC f ¨ur verschiedenek.

•E_kdarf kein Stromchiffre sein (f ¨ur bekanntesxkann man nach dem Schl ¨usselstrom aufl ¨osen).

4 8. November 2007

Message Authentication Codes

Entspricht Hashfunktionen mit geheimen Schl ¨usseln.

h : K×M→H,MAC = h_k(m).

•hparametrisierte Hashfunktion.

•mNachricht.

•kgeheimer Schl ¨ussel.

Mit der Nachrichtmwirdh_k(m) ¨ubertragen. Der Empf ¨anger berechnet hk(m)ausmundkund vergleicht mit dem gesendeten MAC.

Liefert Datenintegrit ¨at und Authentizit ¨at.

1 8. November 2007

Sicherheitsmodell

Der ideale MAC ist wieder eine Zufallsfunktion, f ¨ur jedesk∈K sollh_k nicht von einer

”zuf ¨allig“ gew ¨ahlten FunktionM→Hunterscheidbar sein.

Spezieller betrachten wir auch folgendes (schw ¨acheres) Sicherheitsmodell (*):

•Ein Angreifer darfh_k(m_i)f ¨ur beliebig von ihm vorgegebene Nachrichtenmierhalten (Orakelanfragen).

•Der Angreifer gewinnt (erzeugt eine F ¨alschung), wenn er einm undymity = h_k(m)berechnet.

•MAC ist sicher, wenn es keinen effizienten Angreifer gibt, der mit signifikanter Wahrscheinlichkeit gewinnt.

Sicherheit eines idealen MAC ist gleich der Anzahllog₂(#H)der Bits der MAC-Werte (d.h. Raten ist bereits die beste Strategie).

2 8. November 2007

CBC-MAC Sicherheit

Gilt als sicher,

•wenn Blockchiffre sicher ist und

•wenn die Nachrichtenl ¨ange konstant ist.

Man kann zeigen: Ist die Blockchiffre eine pseudozuf ¨allige Funktion, so auch der CBC-MAC. Nur durch mindestens ungef ¨ahr2^b/2Anfragen an die Blockchiffre kann der CBC-MAC von einer zuf ¨alligen Funktion unterschieden werden.

Ist aber unsicher, wenn die Nachrichtenl ¨ange nicht konstant ist:

•Erfragey₁←h_k(m₁).

•Erfragey₂←h_k(y₁||m2).

•Nun gilty₂= h_k(m₁||0^b||m2). Liefert eine F ¨alschung.

Abhilfe:h_h′(|m|)(m)oderh_k(|m| ||m)(also Padding) verwenden.

7 8. November 2007

CBC-MAC Sicherheit

Geburtstagsangriff auf CBC-MAC mit fester Nachrichtenl ¨anged:

•W ¨ahle1.18·2^b/2 Nachrichtenm_i= m_1,i||m2,i||m3mitm_1,i∈ {0,1}^b paarweise verschieden,m_2,i∈ {0,1}^bzuf ¨allig undm3∈ {0,1}^d−2b beliebig.

•Erfrage alleh_k(m_i). Es ergibt sich eine Kollisionh_k(m_i) = h_k(m_j)f ¨ur i6= jmit Wahrscheinlichkeit≥1/2.

•Daraus folgtE(k,m_1,i)⊕m_2,i= E(k,m_1,j)⊕m_2,j.

•W ¨ahle beliebigesm_δ∈ {0,1}^bund erfrage y←hk(m_1,i||(m2,i⊕m_δ)||m3).

•Nun gilty = hk(m1,j||(m2,j⊕m_δ)||m3). Liefert eine F ¨alschung.

Folgerung:2^b/2bestm ¨ogliche Sicherheit bem CBC-MAC, 2^b/2Schritte gen ¨ugen, um CBC-MAC von zuf ¨alliger Funktion zu unterscheiden.

8 8. November 2007

CBC-MAC

Verwendet eine BlockchiffreE : K× {0,1}^b→ {0,1}^b. CBC-MAC von NachrichtM∈ {0,1}^∗unter Schl ¨usselk:

•SchreibeM = M1||. . .||MnmitMi∈ {0,1}^b(und Padding).

•y₀←IV←0^b.

•F ¨uri←1, . . . ,n:

y_i←E_{(k,yi−1⊕mi).}

•Ausgabeyn.

In anderen Worten: Der CBC-MAC ist der letzte Chiffretextblock der Verschl ¨usselung vonmmitE im CBC Modus, unter Verwendung des konstantenIV = 0^b.

Vorteil: Leicht aus bestehenden Teilen programmiert.

5 8. November 2007

CBC-MAC Padding und Postprocessing

In den Standards sind drei Padding Varianten vorgesehen:

•Nullen anh ¨angen.

•Eine Eins und Nullen anh ¨angen.

•Nullen anh ¨angen und zus ¨atzlichen Block mit Nachrichtenl ¨ange.

Man kann ein optionales Postprocessing vornehmen:

•W ¨ahle Schl ¨usselk₁. Dann MAC-WertE_(k,D_(k1,yn)). Entspricht EDE-Verschl ¨usselung im letzten Schritt.

•W ¨ahle Schl ¨usselk1. Dann MAC-WertE_(k1,yn). Entspricht EE-Verschl ¨usselung (nicht besonders gut).

Erschwert exhaustive Key-search.

6 8. November 2007

Geschachtelte MACs

Seieng : K₁× {0,1}^∗→ {0,1}^mundh : K₂× {0,1}^m→ {0,1}ⁿmitm≥n.

Wir zeigen: Istg_k1kollisionsresistent bei unbekanntem Schl ¨ussel und hk₂ein sicherer (*) MAC, so isthk₂◦gk₁ein sicherer (*) MAC.

Wir betrachten dazu folgende Angreifer:

1. Kollisionsangriff bei unbekanntem Schl ¨ussel:k₁ist geheim, der Angreifer erh ¨alt trotzdem die Wertegk₁(m)f ¨urmseiner Wahl. Er versucht eine Kollisiong_k1(m_i) = g_k1(m_j)mitm_i6= mjzu finden.

2. Kleiner MAC Angreifer: Angreifer gegenhk₂. 3. Großer MAC Angreifer: Angreifer gegenh_k2◦g_k1. Erwartete (ideale) Sicherheit bei 1. istm/2Bits.

Erwartete (ideale) Sicherheit bei 2. istnBits.

11 8. November 2007

Geschachtelte MACs

Ein(ε,q,t)-Angreifer gegen 1, 2 oder 3 f ¨uhrt einen erfolgreichen Angriff bei zuf ¨alliger und gleichverteilter Schl ¨usselwahl mit WahrscheinlichkeitεundqOrakelanfragen in Zeitt aus.

Thm: Gibt es einen(ε,q,t)-Angreifer gegen 3, so gibt es auch einen (ε1,q + 1,t)-Angreifer gegen 1 und einen(ε2,q,t)-Angreifer gegen 2 mitε1+ε2=ε.

Anwendung: Falls es keinen(≥ε,≤q,≤t)-Angreifer gegen 1 oder 2 gibt, so gibt es auch keinen(≥2ε,≤q−1,≤t)-Angreifer gegen 3.

Bew: SeiA₃ein(ε,q,t)-Angreifer gegen 3. Seien(m_i,z_i)

f ¨ur1≤i≤qdie Orakelanfragen vonA₃und die Ergebnisse. Es gilt h_k2(g_k1(m_i)) = z_i. Mit WahrscheinlichkeitεliefertA₃eine F ¨alschung (m,z), es gilt alsom6= mif ¨ur alleiundh_k2(g_k1(m)) = z.

12 8. November 2007

MACs aus MDCs

Gegeben eine Hashfunktionh :{0,1}^∗→ {0,1}^b. Drei einfache Varianten:

1. MAC= h(k||m) 2. MAC= h(m||k) 3. MAC= h(k1||m||k2)

Liefern f ¨ur ideale Hashfunktion idealen MAC. F ¨ur iterierte Hashfunktionen aber nicht besonders sicher:

Annahme:hiteriert, alsoh0= IV,hi+1= f (hi,mi), ...

zu 1. Aush(k||m)kann leichth(k||m||m^′)bzw.h(k||m||p||m^′)

ausgerechnet werden, wobeipdas Padding der Hashfunktion ist.

9 8. November 2007

MACs aus MDCs

zu 2. Finde Kollisionh(m) = h(m^′)(

”offline“ m ¨oglich). Erfrage y←h(m||k). Dann isty = h(m^′||k)eine F ¨alschung.

( Ist im Prinzip ein Hash-then-encrypt Ansatz, auf den ein analoger Angriff m ¨oglich ist. )

zu 3. Durch Erfragen der MACs findet man eine Kollision

h(k₁||mi||k2) = h(k₁||mj||k2). Dann gilt auchh(k₁||mi) = h(k₁||mj)mit nicht zu geringer Wahrscheinlichkeit (h7→f (h,k₂)sollte im wesentlichen injektiv sein).

Man sucht nun einfach inKnachk1und dann nachk2. Der Aufwand ist damit2#Kstatt#K²...

Die Konstruktionen 1-3 werden daher so nicht verwendet.

10 8. November 2007

Geschachtelte MACs

Der AngreiferA₁gegen 1 wird wie folgt definiert: Er w ¨ahlt ein zuf ¨alligesk₂und beantwortet die Orakelanfragen vonA₃ mit z_i= h_k2(g_k1(m_i)), wobei er den Wertg_k1(m_i)durch sein Orakel erh ¨alt.

NachdemA₃den Wert(m,z)ausgegeben hat, berechnetA₁den Wert gk₁(m)durch Orakelanfrage und gibtm,mials Kollision aus, falls es ein imitgk₁(m) = gk₁(mi)gibt. Es giltm6= mi, so daßA1die Spielregeln befolgt.

Der AngreiferA₂gegen 2 wird wie folgt definiert: Er w ¨ahlt ein zuf ¨alligesk₁und beantwortet die Orakelanfragen vonA₃ mit

hk₂(gk₁(mi))unter Verwendung seines Orakels f ¨urhk₂. NachdemA3den Wert(m,z)geliefert hat, gibtA2 den Wert(gk₁(m),z)als F ¨alschung aus, fallsgk₁(m)6= gk₁(mi)f ¨ur alleigilt. Das Orakelhk₂wurde dann nicht nachg_k1(m)gefragt, so daß auchA₂ die Spielregeln befolgt.

13 8. November 2007

Geschachtelte MACs

A₁undA₂ rufen einmalA₃ auf.

A1: Laufzeit≈t, Orakelanfragenq + 1, Erfolgswahrscheinlichkeit=:ε1. A₂: Laufzeit≈t, Orakelanfragenq, Erfolgswahrscheinlichkeit=:ε2. F ¨urA3macht es keinen Unterschied, ob er vonA1oderA2

aufgerufen wird (in beiden F ¨allen sindk₁,k₂ zuf ¨allig gew ¨ahlt).

Zufallsquelle vonA₃als Eingabebitstringσ∈ {0,1}^sauffassen,A₁und A2unter Einbeziehung der Orakel zu deterministischen Algorithmen A^′₁,A^′₂machen, diek1,k2,σals Parameter bekommen.

A₃hat inA₁undA₂f ¨ur gleiches, zuf ¨alligesk₁,k₂,σdie gleiche Erfolgs- wahrscheinlichkeit, liefert gleichem_i,m,z. WennA₃f ¨ur gew ¨ahlte k₁,k₂,σErfolg hat, dann auch entwederA^′₁oderA^′₂f ¨urk₁,k₂,σ. Daraus folgtε=ε1+ε2.

14 8. November 2007