CBC-MAC Sicherheit

Konstruktion von MACs

Folgende Konstruktionstypen k ¨onnen unterschieden werden:

•MACs aus Blockchiffren im CBC Modus.

•MACs aus MDCs.

•Spezielle Konstruktionen.

CBC-MACs sind sehr weit verbreitet.

•Standardisiert z.B. in FIPS-113 von 1985.

Erhalten in der Regel Sicherheit von nurlog₂(#H)/2Bits.

3 14. November 2006

CBC-MAC

Verwendet eine BlockchiffreE : K× {0,1}^b→ {0,1}^b. CBC-MAC von NachrichtM∈ {0,1}^∗unter Schl ¨usselk:

•SchreibeM = M1||. . .||MnmitMi∈ {0,1}^b(und Padding).

•y0←IV←0^b.

•F ¨uri←1, . . . ,n:

y_i←E_{(k,yi−1⊕mi).}

•Ausgabeyn.

In anderen Worten: Der CBC-MAC ist der letzte Chiffretextblock der Verschl ¨usselung vonmmitE im CBC Modus, unter Verwendung des konstantenIV = 0^b.

Vorteil: Leicht aus bestehenden Teilen programmiert.

Message Authentication Codes

Entspricht Hashfunktionen mit geheimen Schl ¨usseln.

h : K×M→H,MAC = h_k(m).

•hparametrisierte Hashfunktion.

•mNachricht.

•kgeheimer Schl ¨ussel.

Mit der Nachrichtmwirdh_k(m) ¨ubertragen. Der Empf ¨anger berechnet hk(m)ausmundkund vergleicht mit dem gesendeten MAC.

Liefert Datenintegrit ¨at und Authentizit ¨at.

1 14. November 2006

Sicherheitsmodell

Der ideale MAC ist wieder eine Zufallsfunktion, f ¨ur jedesk∈K sollh_k nicht von einer

”zuf ¨allig“ gew ¨ahlten FunktionM→Hunterscheidbar sein.

Spezieller betrachtet man folgendes Sicherheitsmodell:

•Ein Angreifer darfh_k(m_i)f ¨ur beliebig von ihm vorgegebene Nachrichtenmierhalten (Orakelanfragen).

•Der Angreifer gewinnt (erzeugt eine F ¨alschung), wenn er einm undymity = h_k(m)berechnet.

•MAC ist sicher, wenn es keinen effizienten Angreifer gibt, der mit signifikanter Wahrscheinlichkeit gewinnt.

Sicherheit eines idealen MAC ist gleich der Anzahllog₂(#H)der Bits der MAC-Werte.

CBC-MAC Sicherheit

Geburtstagsangriff auf CBC-MAC mit fester Nachrichtenl ¨anged:

•W ¨ahle1.18·2^b/2 Nachrichtenm_i= m_1,i||m2,i||m3mitm_1,i∈ {0,1}^b paarweise verschieden,m_2,i∈ {0,1}^bzuf ¨allig undm₃∈ {0,1}^d−2b beliebig.

•Erfrage alleh_k(m_i). Es ergibt sich eine Kollisionh_k(m_i) = h_k(m_j)f ¨ur i6= jmit Wahrscheinlichkeit≥1/2.

•Nun gilthk(m_1,i)⊕m_2,i= hk(m_1,j)⊕m_2,j.

•W ¨ahle beliebigesm_δ∈ {0,1}^bund erfrage y←hk(m_1,i||(m2,i⊕m_δ)||m3).

•Nun gilty = hk(m_1,j||(m2,j⊕m_δ)||m3). Liefert eine F ¨alschung.

Folgerung:2^b/2bestm ¨ogliche Sicherheit bem CBC-MAC, 2^b/2Schritte gen ¨ugen, um CBC-MAC von zuf ¨alliger Funktion zu unterscheiden.

7 14. November 2006

MACs aus MDCs

Gegeben eine Hashfunktionh :{0,1}^∗→ {0,1}^b. Drei einfache Varianten:

1. MAC= h(k||m) 2. MAC= h(m||k) 3. MAC= h(k₁||m||k2)

Liefern f ¨ur ideale Hashfunktion idealen MAC. F ¨ur iterierte Hashfunktionen aber nicht besonders sicher:

Annahme:hiteriert, alsoh₀= IV,h_i+1= f (h_i,m_i), ...

zu 1. Aush(k||m)kann leichth(k||m||m^′)bzw.h(k||m||p||m^′)

ausgerechnet werden, wobeipdas Padding der Hashfunktion ist.

8 14. November 2006

CBC-MAC Padding und Postprocessing

In den Standards sind drei Padding Varianten vorgesehen:

•Nullen anh ¨angen.

•Eine Eins und Nullen anh ¨angen.

•Nullen anh ¨angen und zus ¨atzlichen Block mit Nachrichtenl ¨ange.

Man kann ein optionales Postprocessing vornehmen:

•W ¨ahle Schl ¨usselk₁. Dann MAC-WertE_(k,D_(k1,yn)). Entspricht EDE-Verschl ¨usselung im letzten Schritt.

•W ¨ahle Schl ¨usselk₁. Dann MAC-WertE_(k1,yn). Entspricht EE-Verschl ¨usselung (nicht besonders gut).

Erschwert exhaustive Key-search.

5 14. November 2006

CBC-MAC Sicherheit

Gilt als sicher,

•wenn Blockchiffre sicher ist und

•wenn die Nachrichtenl ¨ange konstant ist.

Man kann zeigen: Ist die Blockchiffre eine pseudozuf ¨allige Funktion, so auch der CBC-MAC. Nur durch mindestens ungef ¨ahr2^b/2Anfragen an die Blockchiffre kann der CBC-MAC von einer zuf ¨alligen Funktion unterschieden werden.

Ist aber unsicher, wenn die Nachrichtenl ¨ange nicht konstant ist:

•Erfragey₁←h_k(m₁).

•Erfragey₂←h_k(y₁||m2).

•Nun gilty₂= h_k(m₁||0^b||m2). Liefert eine F ¨alschung.

Abhilfe:h_h^′_(|m|)(m)oderh_k(|m| ||m)verwenden.

6 14. November 2006

Geschachtelte MACs

Ein(ε,q,t)-Angreifer f ¨ur 1, 2 oder 3 f ¨uhrt einen erfolgreichen Angriff bei zuf ¨alliger Schl ¨usselwahl mit Wahrscheinlichkeit≥εund≤q Orakelanfragen in Zeitt aus.

Thm:k₁undk₂ seien unabh ¨angig und zuf ¨allig. Es gebe keinen (ε1,q + 1,t1)-Angreifer gegen 1 und keinen(ε2,q,t2)-Angreifer gegen 2.

F ¨ur jeden(ε,q,t₃)-Angreifer gegen 3 gilt dannε≤ε1+ε2und t₃≤max{t1,t₂}.

Bew: SeiA3ein(ε,q,t)-Angreifer gegen 3. Seien(mi,zi)

f ¨ur1≤i≤qdie Orakelanfragen vonA₃und die Ergebnisse. Es gilt hk₂(gk₁(mi) = zi. Mit Wahrscheinlichkeit≥εliefertA3eine F ¨alschung (m,z), es gilt alsom6= mif ¨ur alleiundhk₂(gk₁(m) = z.

11 14. November 2006

Geschachtelte MACs

Der AngreiferA₁gegen 1 wird wie folgt definiert: Er w ¨ahlt ein zuf ¨alligesk₂ und beantwortet die Orakelanfragen vonA₃mit z_i= h_k2(g_k1(m_i)), wobei er den Wertg_k1(m_i)durch sein Orakel erh ¨alt.

NachdemA3den Wert(m,z)ausgegeben hat, berechnetA1den Wert gk₁(m)durch Orakelanfrage und gibt gegebenenfalls eine Kollision gk₁(m) = gk₁(mi)aus. Dies sindq + 1Anfragen an das Orakel.

Außerdem giltm6= mi, so daßA₁die Spielregeln befolgt.

Der AngreiferA2gegen 2 wird wie folgt definiert: Er w ¨ahlt ein zuf ¨alligesk1 und beantwortet die Orakelanfragen vonA3mit

hk₂(gk₁(mi))unter Verwendung seines Orakels f ¨urhk₂. NachdemA3den Wert(m,z)geliefert hat, gibtA2den Wert(gk₁(m),z)als F ¨alschung aus, fallsg_k1(m)6= gk₁(m_i)f ¨ur alleigilt. Das Orakelh_k2wurde dann nicht nachg_k1(m)gefragt, so daß auchA₂die Spielregeln befolgt.

MACs aus MDCs

zu 2. Finde Kollisionh(m) = h(m^′)(

”offline“ m ¨oglich). Erfrage y←h(m||k). Dann isty = h(m^′||k)eine F ¨alschung.

( Ist im Prinzip ein Hash-then-encrypt Ansatz, auf den ein analoger Angriff m ¨oglich ist. )

zu 3. Durch Erfragen der MACs findet man eine Kollision h(k₁||mi||k2) = h(k₁||mj||k2). Dann gilt auchh(k₁||mi) = h(k₁||mj).

Man sucht nun einfach inKnachk1und dann nachk2. Der Aufwand ist damit2#Kstatt#K²...

Die Konstruktionen 1-3 werden daher so nicht verwendet.

9 14. November 2006

Geschachtelte MACs

Seieng : K₁× {0,1}^∗→ {0,1}^mundh : K₂× {0,1}^m→ {0,1}ⁿmitm≥n.

Wir werden zeigen: Istgk₁kollisionsresistent bei unbekanntem Schl ¨ussel undh_k2ein sicherer MAC, so isth_k2◦g_k1ein sicherer MAC.

Wir betrachten dazu folgende Angreifer:

1. Kollisionsangriff bei unbekanntem Schl ¨ussel:k1ist geheim, der Angreifer erh ¨alt trotzdem die Werteg_k1(m)f ¨urmseiner Wahl. Er versucht eine Kollisiongk₁(mi) = gk₁(mj)mitmi6= mjzu finden.

2. Kleiner MAC Angreifer: Angreifer gegenh_k2. 3. Großer MAC Angreifer: Angreifer gegenh_k2◦g_k1. Erwartete (ideale) Sicherheit bei 1. istm/2Bits.

Erwartete (ideale) Sicherheit bei 2. istnBits.

HMAC

Innere Anwendung vonhim HMAC:

•Ben ¨otigt Sicherheit bez ¨uglich Kollisionen bei unbekanntemk.

Außere Anwendungen von¨ him HMAC:

•Die L ¨ange des Padding wird so eingestellt, daß eine volle Blockl ¨ange der Kompressionsfunktion vonherreicht wird.

•Damit wird bei der zweiten Berechnung vonhnicht intern iteriert.

•Sicherheit vonhentspricht Sicherheit der Kompressionsfunktion als MAC, was normalerweise angenommen wird.

Wegen Geburtstagsangriffen ist die Sicherheit von HMAC bei iterierten Hashfunktionen trotzdem nur2^b/2(aber

”online“ Angriff).

Relativ gutes Beispiel:

•HMAC mith =SHA-256, MAC-Wert bei Bedarf auf 128 Bit k ¨urzen.

15 14. November 2006

Benutzung von MDCs und MACs

Datenintegrit ¨at und -authentizit ¨at:m||MACk(m).

Datenintegrit ¨at bei authentischem Kanal (Absender bekannt):m||h(m).

•Beispiel: Cryptohandy, Authentizit ¨at durch Stimmerkennung.

E_k(h(x)): Hat keine guten Eigenschaften.

•Kollisionen k ¨onnen ohnekbestimmt werden.

•Kollisionen haben gleichen MAC f ¨ur verschiedenek.

•E_kdarf kein Stromchiffre sein (man kann nach dem Schl ¨usselstrom aufl ¨osen).

Datenintegrit ¨at mit Verschl ¨usselung:E_k

1(m||MACk₂(m)).

•k1undk2unbedingt unabh ¨angig!

•CBC-MAC und CBC-Verschl ¨usselung mit gleichemkundIV liefert letzten ChiffretextblockE_k(0), weil vorletzter Chiffretextblock= letzter Datenblock.

16 14. November 2006

Geschachtelte MACs

A₁hat nach Annahme Erfolgswahrscheinlichkeit≤ε1. A2hat nach Annahme Erfolgswahrscheinlichkeit≤ε2. A₁undA₂ rufenA₃auf.

F ¨urA₃macht es keinen Unterschied, ob er vonA₁oderA₂ aufgerufen wird (in beiden F ¨allen sindk₁,k₂ zuf ¨allig gew ¨ahlt).

Zufallsquelle vonA3als Eingabebitstringσ∈ {0,1}^sauffassen,A1und A2unter Einbeziehung der Orakel zu deterministischen Algorithmen A^′₁,A^′₂machen, diek1,k2,σals Parameter bekommen.

A₃hat inA₁undA₂f ¨ur gleiches, zuf ¨alligesk₁,k₂,σdie gleiche Erfolgs- wahrscheinlichkeit. WennA₃f ¨ur gew ¨ahltek₁,k₂,σErfolg hat, dann auchA^′₁oderA^′₂f ¨urk₁,k₂,σ.

Daraus folgtε≤ε1+ε2undt≤max{t1,t2}.

13 14. November 2006

HMAC

Als Anwendung des Thm ergeben sich HMACs.

Gegeben eine Hashfunktionh :{0,1}^∗→ {0,1}^b. HMAC von Nachrichtmund Schl ¨usselk:

•HMAC= h( k||opad||h(k||ipad||m) ).

HMAC= h( k⊕opad||h(k⊕ipad||m) ).

•opad = 36· · ·36.

•ipad = 5C· · ·5C.

Die Benutzung vonkanstelle vonk₁undk₂basiert auf der Annahme, daß der

”Unterschied“ von einem Angreifer aufgrund der Hashfunktionseigenschaften nicht bemerkt werden kann.

14 14. November 2006

Paßphrasen und Pseudozufallszahlen

Paßphrasen: Technik, um sich

”lange“ Schl ¨ussel zu merken.

•Der Schl ¨ussel wird als Hashwert eines langen Satzes definiert.

•Siehe z.B. pgp, gpg.

Pseudozufallszahlen:

•Die Ausgabe einer Hashfunktion sieht sehr zuf ¨allig aus.

•Im Betriebssystem werden regelm ¨aßig Zufallsereignisse

angezapft: Maus, Tastatur, Interrupts, Netzwerk, Festplatten etc.

Ergebnisse werden mit Hashfunktion zusammengemischt: state

= h(state,counter++,new input data).

•Extrahieren von Pseudozufallszahlen:r = h(state,counter++).

Sehr gef ¨ahrlich, wenn Pseudozufallszahlen vorhersehbar. Dann Programmablauf deterministisch und Angreifer kann alles nachrechnen. Daher gen ¨ugend Entropie in Pools sammeln.

19 14. November 2006

Sicherer Kanal

Wir nehmen an, ein geheimer256Bit Schl ¨usselK sei ausgetauscht.

Um einen sicheren (=verschl ¨usselten und authentifizierten)

Kommunikationskanal zu erhalten, kann man grob wie folgt vorgehen:

F ¨ur jede Kommunikations- und Authentifizierungsrichtung erzeuge man einen eigenen Schl ¨ussel (also insgesamt4).

•Ki←SHA-256(K||

”Name der Operation“).

Man verwende AES mit256Bit Schl ¨ussell ¨ange.

Man verwende HMAC mit SHA-256, also f ¨ur 256 Bit Schl ¨usselKj: MAC =SHA-256((K_j⊕opad)||SHA-256((K_j⊕ipad)||m)).

Man verwende eindeutige Nachrichtennummern.

Man verwende den CTR Modus.

17 14. November 2006

Sicherer Kanal

Verschl ¨usselt wird die Nachricht zusammen mit dem MAC.

Mit Nachrichtennummern Schl ¨usselstrom f ¨ur CTR erzeugen.

Nachrichtennummer in Authentifizierung eingehen lassen.

Nachrichtennummer in klar im Chiffretext.

Beim Entschl ¨usseln MAC checken. Wenn falsch, dann Authentifizierungsfehler.

Wenn Nachrichtennummer schon einmal erhalten wurde (kleiner ist als ein mitgef ¨uhrter Z ¨ahler), dann Nachrichten-Ordnungsfehler.

Schnellere Alternativen, Verschl ¨usselung und Authentifizierung in einem: OCB (patentgesch ¨utzt), CCM.