Angriffe und Sicherheitsmodelle

Symmetrisch, asymmetrisch

Symmetrisches Verschl ¨usselungssystem (secret key):

•d=e(oderdleicht auseberechenbar).

•Sender und Empf ¨anger habeneals gemeinsames Geheimnis.

Asymmetrisches Verschl ¨usselungssystem (public key):

•dgeheim,e ¨offentlich.

•dschwer oder gar nicht auseberechenbar.

•Empf ¨anger besitzteundd.

•Sender verwendetezum Verschl ¨usseln.

•Empf ¨anger verwendetdzum Entschl ¨usseln.

3 15. April 2004

Prinzip von Kerkhoff

Grundlegende Anforderung:

Sicherheit eines Systems sollte sich nicht aus der Geheimhaltung der Algorithmen, sondern nur aus den geheimen Schl ¨usseln ableiten.

Gr ¨unde daf ¨ur:

•Geheime Schl ¨ussel lassen sich schneller und h ¨aufiger austauschen, gr ¨oßere Flexibilit ¨at.

•Geheimhaltung funktionert nicht lange (siehe COMP128 im GSM Mobilfunk, RC4 von RSA), Umstellung auf neue Algorithmen teuer.

•Offentliche Algorithmen k ¨onnen von unabh ¨angiger Seite¨ untersucht werden. Dies eliminiert Designfehler und baut Vertrauen bei Benutzern bzw. Kunden auf (siehe GSMK Cryptophone).

Alphabete und Worte

Ein AlphabetAist eine nicht-leere Menge.

Die WortmengeA^∗ ¨uberAistA^∗=∪^∞_i=0Aⁱ. Beispiel:

•A={A, . . . ,Z}, HALLO∈A^∗

•A={0,1},101101∈A^∗.

•1^k= 11· · ·1,kEinsen.

Leeres Wort:ε.

Aneinanderh ¨angen von Worten:m1,m2∈A^∗→m1m2∈A^∗. L ¨ange|m|eines Wortsm∈A^∗:m∈A^|m|.

Schreibweise in einigen Programmiersprachen: ’A’, “HALLO“, “ “

1 15. April 2004

Konzepte der Verschl ¨usselung

Klartexte sind aus Klartextraum:m∈M⊆A^∗₁. Chiffretexte sind aus Chiffretextraum:c∈C⊆A^∗₂.

Schl ¨ussel sind aus Schl ¨usselr ¨aumen:e∈K1⊆A^∗₃,d∈K2⊆A^∗₄. Verschl ¨usselungsverfahrenE:K1×M C.

Entschl ¨usselungsverfahrenD_:K2×C→M.

Verschl ¨usselung von Klartextmmit Schl ¨ussele: c←E_(e,m).

Entschl ¨usselung von Chiffretextcmit Schl ¨usseld: m←D_(d,c).

E _undD sind effiziente Verfahren (z.B. Programme).

E _undD d ¨urfen probabilistisch sein (d ¨urfen den Zufall verwenden).

E kann mehrdeutig sein ( ).

Angriffe und Sicherheitsmodelle

Ziele eines Angreifers:

•Chiffretext entschl ¨usseln.

•Chiffretexte bekannten Nachrichten zuordnen.

•Gegebenen Chiffretext in neuen Chiffretext umwandeln, so daß neuer Klartext mit alten Klartext sinnvoll verbunden ist.

•Irgendeinen Chiffretext erzeugen (ohne Klartext zu kennen).

Die korrespondierenden (negierten) Eigenschaften des Verschl ¨usselungssystems:

•Einweg-Eigenschaft (onewayness, OW).

•Semantische Sicherheit, Nichtunterscheidbarkeit (indistinguishability, IND).

•Nicht-Modifizierbarkeit (non-malleability, NM).

•Plaintext-awareness (PA).

7 15. April 2004

Angriffe und Sicherheitsmodelle

Potentiell gef ¨ahrlich sind regul ¨are Eigenschaften innerhalb eines Verschl ¨usselungssystems, wie z.B. Homomorphieeigenschaften.

•Schl ¨ussel bilden Gruppe.

•E_(e,m)homomorph inm.

•. . .

Prinzip von Kerkhoff

Gr ¨unde dagegen:

•Firmen wollen Gesch ¨aftsgeheimnisse bewahren.

•Staatliche Beh ¨orden wollen einen verbreiteten Gebrauch (z.B.

durch Terroristen) des f ¨ur eigene Zwecke entwickelten und benutzten, vielleicht sehr sicheren Kryptosystems verhindern.

Im allgemeinen wird die Meinung vertreten, daß das Prinzip von Kerkhoff befolgt werden sollte.

5 15. April 2004

Angriffe und Sicherheitsmodelle

Es werden Angreifer (Programme, Menschen, etc.) betrachtet.

Im wesentlichen drei Aspekte:

•Was ist das Ziel eines Angriffs (wann erfolgreich)?

•Welche Informationen stehen dem Angreifer zur Verf ¨ugung?

•Welche Rechenleistung besitzt der Angreifer?

Trifft man f ¨ur diese Aspekte eine Wahl, so legt man sich auf ein Sicherheitsmodell fest.

Gibt es unter den Aspekten keinen Angreifer, so ist das Kryptosystem sicher (im gew ¨ahlten Modell).

Angriffe und Sicherheitsmodelle

Rechenleistung eines Angreifers:

•Vergleichbar der vonE _undD (polynomiell).

•Unbeschr ¨ankt.

Die korrespondierenden (negierten) Eigenschaften des Verschl ¨usselungssystems:

•Komplexit ¨atstheoretische Sicherheit (computational security).

•Perfekte Sicherheit (unconditional security, perfect secrecy).

Im allgemeinen betrachtet man nur komplexit ¨atstheoretische Sicherheit.

11 15. April 2004

Angriffe und Sicherheitsmodelle

Beispiel:

Das f ¨ur Public-Key Systeme st ¨arkste Sicherheitsmodell ist

Nichtunterscheidbarkeit unter einem adaptiven Chosen-ciphertext Angriff (IND-CCA2).

Hier versucht ein Angreifer die Chiffretexte zweier von ihm vorgegebener Nachrichten den Nachrichten zuzuordnen.

Gelingt dies mit Wahrscheinlichkeit signifikant besser als 1/2, so gilt der Angriff als erfolgreich.

NM ist sicherer als IND ist sicherer als OW.

CCA2 ist sicherer als CCA1 ist sicherer als CPA.

NM-CCA2 = IND-CCA2

(In spezieller Situation: PA ist sicherer als IND-CCA2, NM-CCA2)

Angriffe und Sicherheitsmodelle

Informationen (F ¨ahigkeiten) des Angreifers in aufsteigender Reihenfolge:

•Ciphertext-only Angriff: Der Angreifer erh ¨alt nur Chiffretexte.

•Known-plaintext Angriff: Der Angreifer erh ¨alt Klartexte und die zugeh ¨origen Chiffretexte.

•Chosen-plaintext Angriff (CPA): Der Angreifer kann sich die Klartexte aussuchen und erh ¨alt die zugeh ¨origen Chiffretexte.

Zus ¨atzlich bei Public-Key Verschl ¨usselungssystemen:

•Chosen-ciphertext Angriff (CCA1): Der Angreifer kann sich Chiffretexte aussuchen und erh ¨alt die zugeh ¨origen Klartexte.

9 15. April 2004

Angriffe und Sicherheitsmodelle

Chosen-plaintext und Chosen-ciphertext Angriffe gibt es auch in adaptiver und kombinierter Form:

Der Angreifer darf Klar- und Chiffretexte in Abh ¨angigkeit zuvor erhaltener Chiffre- bzw. Klartexte und den Ergebnissen von Zwischenrechnungen w ¨ahlen.

CCA1 wird dann zu CCA2.

Symmetrisch

Symmetrisches Signatursystem (secret key, MAC):

•d=e(oderdleicht auseberechenbar).

•Sender und Empf ¨anger habeneals gemeinsames Geheimnis.

•Gemeinhin als Message Authentication Code (MAC) bezeichnet, meistens deterministisch.

Erweiterte Nachrichten werden verschickt:(M,σ)woσ←S_(d,M).

Integrit ¨at der erweiterten Nachrichten(M,σ)wird vonV _mit S_{(d,M) =σ} ¨uberpr ¨uft.

Hashfunktion: MAC ohne geheimen Schl ¨ussel.

15 15. April 2004

Asymmetrisch

(Asymmetrisches, public key) Signatursystem:

•dgeheim,e ¨offentlich.

•dschwer oder gar nicht auseberechenbar.

•Signierer besitzteundd.

•Signierer verwendetdzum Signieren.

•Empf ¨anger verwendetezum Verifizieren.

Brute-Force (exhaustive search) Angriff

1. Alle Entschl ¨usselungsschl ¨ussel ausprobieren.

2. Schauen, ob das Entschl ¨usselte Sinn macht (d.h. Ausnutzen von Redundanz in beispielsweise geschriebener Sprache etc.) Gegenmaßnahme:

•Ausreichend großen Schl ¨usselraum haben.

13 15. April 2004

Konzepte der Signatur

Nachrichten aus Nachrichtenraum:M∈M _⊆A^∗_1. Signaturen aus Signaturenraum:σ∈S⊆A^∗₂.

Schl ¨ussel sind aus Schl ¨usselr ¨aumen:d∈K1⊆A^∗₃,e∈K2⊆A^∗₄. SignierungsverfahrenS _:K1×M _S.

VerifizierungsverfahrenV :K2×M_{×S→ {}0,1}.

Signatur von NachrichtMmit Schl ¨usseld: σ←S_(d,M).

Verifizierung vonM,σmit Schl ¨ussele: f ←V_(e,M,σ).

S _undV sind effiziente Verfahren (z.B. Programme).

S _undV d ¨urfen probabilistisch sein (d ¨urfen den Zufall verwenden).

S kann mehrdeutig sein ( ).

Bemerkungen

Im allgemeinen wird nur ein HashwertH(M)und nichtMselbt signiert.

•Effizienter, daH(M)viel k ¨urzer alsMist.

•Beweisbare Sicherheit von in der Praxis relevanten Verfahren (allerdings im Zufallsorakelmodell, RO).

Offenbar mußH kollisionsfrei sein, man kann keine zwei Nachrichten M1,M2mitH(M1) =H(M2)berechnen.

19 15. April 2004

Vergleich Public-Key und Secret-Key Kryptographie

Public-Key:

•gr ¨oßere Funktionalit ¨at, z.B. Schl ¨usselaustausch, Signaturen, etc.

•basiert auf mathematischen Problemen (aus der Zahlentheorie).

Secret-Key:

•effizienter in Verschl ¨usselung (ebenso MAC und Hashfunktionen).

Angriffe und Sicherheitsmodelle

Das Prinzip von Kerkhoff soll gelten (ein Grund dagegen weniger hier).

Ziele des Angreifers:

•Existentielle F ¨alschung. Der Angreifer berechnet eine Signatur f ¨ur eine Nachricht.

•Universelle F ¨alschung: Der Angreifer kann Signaturen f ¨ur jede beliebige Nachricht berechnen.

•Total break: Der Angreifer berechnet den geheimen Schl ¨ussel des Signierers.

17 15. April 2004

Angriffe und Sicherheitsmodelle

Informationen (F ¨ahigkeiten) des Angreifers in aufsteigender Reihenfolge:

•Key-only Angriff: Der Angreifer kennt nur den ¨offentlichen Schl ¨ussel des Signierers.

•Known-Signature Angriff: Der Angreifer erh ¨alt Nachrichten und die zugeh ¨origen Signaturen.

•Chosen-Message Angriff: Der Angreifer kann sich die Nachrichten aussuchen und erh ¨alt die zugeh ¨origen Signaturen.

Den letzte Variante gibt es auch in adaptiver Form.

St ¨arkstes Sicherheitsmodell: Sicherheit bez ¨uglich existenzieller F ¨alschung unter adaptiven Chosen-Message Angriffen.

Wahrscheinlichkeitstheorie

Konstruktionen mit W-R ¨aumen und Z-Variablen.

(X,p), f_i:X→Y_i,1≤i≤n.

1.Pr(f1=y1, . . . ,f_n=y_n) := Pr({x∈X|f_i(x) =y_i}) 2. fiunabh ¨angig:Pr(f1=y1, . . . ,fn=yn) =∏_iPr(fi=yi) (X_i,p_i), f_i:X_i→Y_i,1≤i≤n, verschiedeneX_i.

1.X1× · · · ×X_nwird durch p((x1, . . . ,xn)) =∏_ip_i(x_i)zum Wahrscheinlichkeitsraum.

2.Pr(fi=yi) = Pr(fi◦π_i=yi), wobeiπ_idie Projektion X1× · · · ×X_n→X_iist.

23 15. April 2004

Wahrscheinlichkeitstheorie

(X,p),(Wx,px)_x∈X.

1.XW :=∪x∈X{x} ×Wx, pXW(x,w) :=p(x)px(w).

f :X→Y,g:XW→Y.

1.Pr(f(x) =y:x←X) := Pr(f =y).

2.Pr(g(x,w) =y:x←X,w←W_x) := Pr(g=y).

Prop:A,A_i⊆X,Pr(A_i)>0, so daßX disjunkte Vereinigung derA_iist. DannPr(A) =∑_iPr(A_i) Pr(A|A_i).

Bew:Pr(A) =∑_iPr(A∩Ai) =∑_iPr(Ai) Pr(A|Ai).

Wahrscheinlichkeitstheorie

Xendliche Menge,p:X→R^≥0,∑_x∈Xp(x) = 1.

1.pheißt Wahrscheinlichkeitsverteilung.

2.(X,p)heißt Wahrscheinlichkeitsraum.

3.A⊆Xheißt Ereignis. Die Wahrscheinlichkeit vonAist Pr(A) =∑_x∈Ap(x).

4. Komplement ¨arereignis vonA:A¯=X\A.

5.0≤Pr(A)≤1,Pr({}) = 0,Pr(X) = 1,Pr( ¯A) = 1−Pr(A).

6.A,B⊆X:Pr(A∪B) = Pr(A) + Pr(B)−Pr(A∩B).

7.A⊆B⇒Pr(A)≤Pr(B).

8. Gleichverteilung:p(x) = 1/#X,Pr(A) = #A/#X.

21 15. April 2004

Wahrscheinlichkeitstheorie

(X, p) Wahrscheinlichkeitsraum,A,B⊆X,Pr(B)>0.

1. Bedingte Wahrscheinlichkeit:Pr(A|B) := Pr(A∩B)/Pr(B).

2.AundBheißen unabh ¨angig, wennPr(A∩B) = Pr(A) Pr(B).

3. Satz von Bayes:Pr(A|B) = Pr(A) Pr(B|A)/Pr(B).

Y endliche Menge, f :X→Y.

1. f heißtY-wertige Zufallsvariable aufX.

2. Induzierte Verteilung f(p)aufY: f(p)(y) :=p({x∈X|f(x) =y}) 3.Pr(f =y) := f(p)(y),Pr(f ∈A) := Pr(f⁻¹(A))f ¨urA⊆Y.

4. Erwartungswert von f f ¨urY=R: E(f) :=∑_y∈YyPr(f =y) =∑_x∈Xf(x)p(x).

Algorithmen

Unter einem Algorithmus verstehen wir einen Text von elementaren Anweisungen, die beispielsweise auf einem Computer oder einer Turing Maschine ausgef ¨uhrt werden k ¨onnen.

Ein Algorithmus erwartet eine Eingabe, t ¨atigt eine Ausgabe und endet dann.

Ein Algorithmus heißt deterministisch, wenn die auszuf ¨uhrenden Anweisungen eindeutig durch die Eingabe bestimmt sind. Ein solcher Algorithmus verh ¨alt sich wie eine Funktion.

Ein Algorithmus heißt probabilistisch, wenn die auszuf ¨uhrenden Anweisungen neben der Eingabe auch von zuf ¨alligen

Entscheidungen w ¨ahrend des Laufs abh ¨angen.

27 15. April 2004

Algorithmen

Zu vorgegebener Eingabe ist die Laufzeit eines Algorithmus die Anzahl der bis zum Ende des Algorithmus ausgef ¨uhrten

Anweisungen, inklusive der Zufallsabfragen. Im Zusammenhang mit Computern werden h ¨aufig Bitoperationen gez ¨ahlt.

Die Laufzeit und die Ausgabe eines probabilistischen Algorithmus h ¨angen damit ebenfalls vom Zufall ab und stellen Zufallvariablen dar.

IstAein probabilistischer Algorithmus, so k ¨onnen wir daraus einen deterministischen AlgorithmusADmachen, indem wir die vonA benutzte Zufallsquelle als Eingabe vonADauffassen.

Ein Algorithmus ist polynomiell, wenn es ein Polynom f ∈Z[t]gibt, so daß seine Laufzeit f ¨ur die Eingabexdurch f(|x|)beschr ¨ankt ist.

Wahrscheinlichkeitstheorie

Prop:R-wertige f,g.

1.E(f+g) =E(f) +E(g).

2. Sind f,gunabh ¨angig, soE(f g) =E(f)E(g).

Xkann als zuf ¨alliges Experiment aufgefaßt werden.

Xⁿ=X× · · · ×Xalsn-fache, unabh ¨angige Ausf ¨uhrung des Experiments.

Prop:A⊆X,Pr(A)>0. Sei f die Zufallsvariable, welche

angibt, wie h ¨aufigX wiederholt werden muß, um das erste malAzu erhalten. Dann giltE(f) = 1/Pr(A).

25 15. April 2004

Wahrscheinlichkeitstheorie

Prop (Markov Ungleichung): f nicht negativ undv>0.

DannPr(f ≥v)≤E(f)/vbzw.Pr(f ≥rE(f))≤1/r.

Einfache Anwendung: Bei 12mal W ¨urfeln erhalten wir mindestens eine 6 mit Wahrscheinlichkeit≥1/2.

Algorithmen

Beispiel:

Aufgabe ist, eine 6 zu w ¨urfeln. L ¨osung ist, einfach wiederholt zu w ¨urfeln, bis eine 6 erscheint.

In vielen F ¨allen sind probabilistische Algorithmen deterministischen Algorithmen zur L ¨osung der gleichen Probleme ¨uberlegen (einfacher und schneller).

29 15. April 2004