Homomorphe Verschlüsselung

(1)

Homomorphe Verschlüsselung

DefinitionHomomorphe Verschlüsselung

SeiΠein Verschlüsselungsverfahren mitEnc :G→G⁰ für Gruppen G,G⁰.Πheißthomomorph, fallsEnc(m₁)◦_G0 Enc(m₂)eine gültige Verschlüsselung vonm₁◦_Gm₂für allem₁,m₂∈Gist.

Bsp:

Textbook-RSAmitEnc: (Z^∗_N,·)→(Z^∗_N,·)und mê₁·m₂ê= (m₁·m₂)êmodN.

ElGamalmitEnc : (Z^∗_p,·)→(Z^∗_p,·)×(Z^∗_p,·)und

(g^y¹,h^y¹m₁)·(g^y²,h^y²m₂) = (g^y¹^+y²,h^y¹^+y²m₁m₂).

Hier ist◦_G0 die komponentenweise Multiplikation inZ^∗p×Z^∗p. Goldwasser-MicalimitEnc : (Z2,+)→(Z^∗_N,·)und

z^m¹x₁²·z^m²x₂²=z^m¹^+m²^mod²(x₁x₂)²modN.

(2)

E-voting mit Paillier

PailliermitEnc : (ZN,+)→(Z^∗_N2,·)und

(1+N)^m¹r₁^N·(1+N)^m²r₂^N = (1+N)^m¹^+m²^mod^N(r₁r₂)^N modN². Vorteil:G= (ZN,+)ist additiv und groß.

Algorithmus E-voting mit Paillier

Wahlleiter generiert öffentlichen RSA-ModulN=pq.

Wähleri ∈[n]mitn<N wähltv_i =0 für NEIN,v_i =1 für JA und sendet an alle anderen Wählerc_i = (1+N)^vⁱr_i^N modN².

Wähler aggregierenc :=Qn

i=1c_i modN².

Wahlleiter erhältc und veröffentlichtDec(c) =Pn i=1v_i. Eigenschaften:(falls alle Parteien sich an das Protokoll halten)

Wahlleiter erhältc, ohne die einzelnenc_i kennenzulernen.

Kein Wähler erhält Informationen über diev_i anderer Wähler.

Berechnung vonc ist öffentlich verifizierbar.

(3)

Voll homomorphe Verschlüsselung

DefinitionVoll homomorphe Verschlüsselung

SeiΠein Verschlüsselungsverfahren mitEnc :R→R⁰für RingeR,R⁰. Πheißtvoll homomorph, falls

1 Enc(m₁) +Enc(m₂)eine gültige Verschlüsselung vonm₁+m₂

2 Enc(m₁)·Enc(m₂)eine gültige Verschlüsselung vonm₁·m₂ für allem₁,m₂∈R ist.

Anwendung:Cloud Computing

Sende verschlüsselt AlgorithmusA, Eingabex an einen ServerS.

Sberechnet daraus die verschlüsselte AusgabeEnc(A(x)).

Erlaubt Auslagern von Berechnungen anS.

Slernt nichts über das ProgrammAoder die Eingabex. Erste voll homomorphe Verschlüsselung:

Gentry Verfahren (2009), basierend auf Problemen der Gittertheorie.

(4)

CCA-sichere Verschlüsselung in der Praxis

PKCS #1 Standard für RSA Verschlüsselung Textbook RSA ist nicht CCA sicher.

PKCS #1:Benutze invertierbare Padding FunktionF(m,r)und definiere Chiffretextc =F(m,r)^emodNfür zufälligesr. PKCS #1 Version 1.5 (1991):

F(m,r) =00000000||00000011||r||00000000||m.

Ist nicht CCA-sicher (Bleichenbacher Angriff, 1998).

PKCS #1 Version 2.0 (1998):RSA Optimal Asymmetric Encryption Padding (RSA-OAEP).

F(m,r) =F_G,H(m||0^k¹ ||r),

wobeiF_G,H ein zwei Runden Feistel Netzwerk mit den RundenfunktionenGundH ist.

(5)

RSA-OAEP

Sein=blog₂(N)cundk₀,k₁=bn/8c. SeienG:{0,1}^k⁰ → {0,1}^n−k⁰ Hashfunktionen. SeiF_G,H ein zwei Runden Feistel Netzwerk.

Algorithmus RSA OAEP Verschlüsselung

1 Gen:(N,e,d)←GenRSA(1ⁿ).pk = (N,e,G,H),sk = (N,d)

2 Enc:Fürm∈ {0,1}^n−k⁰^−k¹ setzem⁰:=m||0^k¹, wähle r ∈_R{0,1}^k⁰ und berechnes||t:=F_G,H(m⁰||r)∈ZN. Der Chiffretext isc = (s||t)^e modN.

3 Dec:Berechne(s||t) =c^d modNund(m⁰||r) =F_G,H⁻¹(s||t).

Ausgabe

(m fallsm⁰=m||0^k¹

⊥ sonst .

Satz(ohne Beweis). Unter der RSA Annahme ist RSA-OAEP CCA-sicher im random oracle Modell.

(6)

Digitale Signaturen

Funktionsweisevon digitalen Signaturen:

Schlüsselgenerierung erzeugtpk,sk. Signieren ist Funktion vonsk.

Verifikation ist Funktion vonpk.

Idee:Es soll unmöglich sein, ein gültiges Paar von Nachrichtmmit zugehöriger Signaturσ zu erzeugen, ohnesk zu kennen.

Eigenschaftendigitaler Signaturen.

Integrität:mkann nicht verändert werden, da man keine gültige Signatur zu einemm⁰ 6=merstellen kann.

Authentizität:Fallsσein gültige Signatur zumist, so kommt die Signatur vom Besitzer dessk.

Transferierbarkeit:Jeder kann die Gültigkeit von(m, σ) überprüfen. Insbesondere kann(m, σ)weitergereicht werden.

Nicht-Abstreitbarkeit:Signierer kann nicht behaupten, dass eine andere Person eine gültige Signatur erzeugt hat.

(7)

Definition Signaturverfahren

DefinitionSignaturverfahren

EinSignaturverfahrenist ein 3-Tupel(Gen,Sign,Vrfy)von ppt Alg mit

1 Gen:(pk,sk)←Gen(1ⁿ).

2 Sign:Für eine Nachrichtm∈ {0,1}^∗berechne σ←Sign_sk(m).

(Sign kann probabilistisch sein.)

3 Vrfy:Für ein Tupel(m, σ)berechne Vrfy_pk(m, σ) :=

(1 fallsσgültig ist fürm.

0 sonst .

Korrektheit:Für allen∈N,(pk,sk)←Gen(1ⁿ),m∈ {0,1}^∗, σ ←Sign_sk(m)gilt:Vrfy_pk(m, σ) =1.

(8)

Unfälschbarkeit von Signaturen

SpielCMA-SpielForgeA,Π(n)

SeiΠein Signaturverfahren mit AngreiferA.

1 (pk,sk)←Gen(1ⁿ)

2 (m, σ)← A^Sign^sk^(·)(pk), wobeiSign_sk(·)ein Signierorakel für beliebige Nachrichtenm⁰6=mist.

3 ForgeA,Π(n) =

(1 fallsVrfy_pk(m, σ) =1,Sign_sk(m)nicht angefragt

0 sonst .

DefinitionCMA-Sicherheit

SeiΠein Signaturverfahren.Πheißtexistentiell unfälschbarunter Chosen Message Angriffen (oder kurz CMA-sicher), falls für alle ppt AngreiferAgilt

Ws[ForgeA,Π(n) =1]≤negl(n).

(9)

CMA Spiel Forge

Forge_A,Π(n)

(pk, sk)←Gen(1ⁿ) (1ⁿ, pk)

σi←Sign_sk(mi)

σ_i Ausgabe:

(1 if Vrfy_pk(m, σ) = 1

0 else

A

W¨ahlemi, i= 1, . . . , q.

m_i

m /∈ {m1, . . . , mq} Berechne: (m, σ) (m, σ)

(10)

Unsicherheit von Textbook RSA Signaturen

Algorithmus Textbook RSA Signaturen

1 Gen:(N,e,d)←GenRSA(1ⁿ). Setzepk = (N,e),sk = (N,d).

2 Sign:Fürm∈ZNberechneσ =m^d modN.

3 Vrfy:Für(m, σ)∈ZN×ZN Ausgabe (

1 fallsσ^e=^? mmodN

0 sonst .

Unsicherheit:gegenüber CMA-Angriffen

Wähle beliebigesσ ∈ZN. Berechnem:=σ^emodN.

Offenbar istσeine gültige Signatur fürm.

Angreifer besitzt keine Kontrolle überm(existentielle Fälschung).

Fälscheneiner Signatur für ein gewähltesm∈ZN: Wählem₁∈_R Z^∗_N\ {1,m}. Berechnem₂= _m^m

1 modN.

Lassem₁,m₂vom OrakelSign_sk(·)unterschreiben.

Seienσ₁, σ₂die Signaturen. Dann ist

σ =σ₁·σ₂=m^d₁·m^d₂ = (m₁m₂)^d =m^dmodNgültig fürm.

(11)

Erinnerung: Hashfunktionen und Kollisionen

DefinitionHashfunktion

EineHashfunktionist ein Paar(Gen,H)von pt Algorithmen mit

1 Gen:s←Gen(1ⁿ).Genist probabilistisch.

2 H:Für einen Indexsund ein Argumentx ∈ {0,1}^∗ berechne H_s(x), wobeiH_s :{0,1}^∗ → {0,1}ⁿ,x 7→H_s(x).

SpielHashCollA,Π(n)

1 s←Gen(1ⁿ)

2 (x,x⁰)← A(s)

3 HashCollA,Π=

(1 fallsH_s(x) =H_s(x⁰)undx 6=x⁰

0 sonst .

(12)

Kollisionsresistente Hashfunktionen

HashCollA,Π(n)

s←Gen(1ⁿ) (1ⁿ, s)

Ausgabe:

(1 fallsHs(x) =Hs(x⁰)

0 sonst

A

Berechne:

x6=x⁰∈ {0,1}^∗ (x, x⁰)

DefinitionKollisionsresistenz

Eine HashfunktionΠheißtkollisionsresistent(CR), falls für alle pptA giltWs[HashColl_A,Π(n) =1]≤negl(n).

(13)

Hashed RSA

Algorithmus Hashed RSA

1 Gen:(N,e,d)←GenRSA(1ⁿ),s←GenHash(1ⁿ)mit H_s :{0,1}^∗ →ZN. Ausgabepk = (N,e,H),sk = (N,d,H).

2 Sign:Fürm∈ {0,1}^∗ berechneσ=H_s(m)^d modN.

3 Vrfy:Für(m, σ)∈ {0,1}^∗×ZN Ausgabe 1 gdw σ^e=^? Hs(m)modN.

Einfacher Angriff:

Seim₁6=m₂eine Kollision fürHist, d.h.H(m₁) =H(m₂).

Frage(m₁, σ)an. Dann ist(m₂, σ)eine gültige Fälschung.

D.h. wir benötigen fürH Kollisionsresistenz.

Anmerkung:Sicherheit gegen unsere Angriffe für Textbook RSA

1 Wähleσ∈ZN, berechneσ^e. Müssenm∈H⁻¹(σ^e)bestimmen.

Aber: Urbildbestimmung ist schwer für kollisionsresistentesH.

2 CR ist aber nicht ausreichend da es HashfunktionenH gibt, die CR und homomorph (H(m) =H(m₁)·H(m₂)inZ^∗_N) sind.