Vergleich der Sicherheitseigenschaften

Weitere Sicherheitseigenschaften

Hashfunktionh :{0,1}^∗→ {0,1}ⁿ.

Einwegeigenschaft auch bei partiell bekanntem Urbild:

•Aush(x)und einigen bekannten Bits vonxsowie|x|ganzx berechnen, z.B. aush(x₁||x2)undx₁den Wert vonx₂berechnen.

•Laufzeit eines Angreifers sollte nicht wesentlich schneller als 2^min(b,n)sein, wobeibdie Anzahl der unbekannten Bits inxist.

•Ist Versch ¨arfung der Einwegeigenschaft.

•Gilt im Zufallsorakelmodell.

Kollisionsresistenz bei partiell vorgegebenem Urbild:

•Folgt aus Kollisionsresistenz, f ¨urhkollisionsresistent ist x₁7→h(x₁||x2)ebenfalls kollisionsresistent, etc.

•Impliziert Einwegeigenschaft bei partiell bekanntem Urbild.

3 6. November 2007

Konstruktion von Hashfunktionen

Neben Einwegeigenschaft und Kollisionsresistenz sollen Hashwerte von langen Nachrichten effizient ohne großen Speicheraufwand berechnet werden k ¨onnen (Magnetband, ...).

Allgemeines Prinzip: Iterierung.

Nachricht mit geeignetem Bitstring und Nachrichtenl ¨ange padden (!), dann in geeignete Bl ¨ockem_ider Blockl ¨ange (Bitl ¨ange)raufteilen.

Bei der Berechnung des Hashwerts eine Zustandsvariableh_ider Bitl ¨angenmitf ¨uhren. Erster Zustand isth0=konstanter IV, letzter Zustandhnist Hashwert.

In jedem Schritt eine Kompressionsfunktion aufm_iundh_ianwenden, lieferth_i+1. ¨Ahnlich wie im CBC Mode f ¨ur Blockchiffren.

4 6. November 2007

Vergleich der Sicherheitseigenschaften

Die folgenden zwei Reduktionen sind im Standardmodell g ¨ultig.

Seih : X→Zeine Hashfunktion.

K ¨onnen wir zweite Urbilder berechnen, so k ¨onnen wir Kollisionen berechnen:

•W ¨ahlex∈X zuf ¨allig.

•Berechne ein zweites Urbildx^′6= xmith(x^′) = h(x).

•Ausgabe vonx,x^′.

Resistenz gegen Kollisionen impliziert also Resistenz gegen schwache Kollisionen.

1 6. November 2007

Vergleich der Sicherheitseigenschaften

Seih : X→Y eine Kompressionsfunktion mit#X≥2#Y.

K ¨onnen wir Urbilder berechnen, so k ¨onnen wir Kollisionen berechnen:

•W ¨ahlex∈X zuf ¨allig.

•Berechne ein Urbildx^′vonh(x).

•Ausgabe vonx,x^′, wennx6= x^′. Sonst Fehler.

SeiC ={h⁻¹({h(x)})|x∈X}. Die Erfolgswahrscheinlichkeit ist P = (1/#X )

∑

x∈X

(#h⁻¹({h(x)})−1)/#h⁻¹({h(x)})

= (1/#X )

∑

c∈C

∑

x∈c

(#c−1)/#c = (1/#X )

∑

c∈C

(#c−1)

≥(#X−#Y )/#X ≥(#X−#X/2)/#X≥1/2.

Resistenz gegen Kollisionen impliziert also die Einweg-Eigenschaft.

2 6. November 2007

Merkle-Damgard Konstruktion

Hashfunktionh :{0,1}^∗→ {0,1}ⁿaus Kompressionsfunktion bauen.

Sei f :{0,1}^m→ {0,1}ⁿeine Kompressionsfunktion undr = m−n≥2.

Der Hashwert vonx∈ {0,1}^∗wird dann wie folgt ausgerechnet:

•xhinten mit beliebigen Bits und der Nachrichtenl ¨ange wie erw ¨ahnt padden und insBl ¨ockexi∈ {0,1}^r mit0≤i≤s−1aufteilen.

•h₀= IV f ¨ur einen festen Initialwert (!).

•hi+1= f (hi||xi)f ¨ur0≤i≤s−1.

•Der Hashwert isth_s.

7 6. November 2007

Merkle-Damgard Konstruktion

Thm: F ¨ur eine kollisionsresistente Kompressionsfunktion f ist auch die durch die Merkle-Damgard erhaltene Hashfunktionh

kollisionsresistent.

Bew: Seih(x) = h(x^′)mitx6= x^′. Definierex_i,x^′_i,s,s^′,h_i,h^′_iwie in der Konstruktion. Wir k ¨onnens≤s^′annehmen. Es gilth_s= h^′_s′. Gilt (h_s−j,x_s−j) = (h^′_s′−j,x^′_s′−j)f ¨ur alle1≤ j≤s, so folgts = s^′wegen des Paddings und dannx = x^′im Widerspruch zur Annahme. Sei also j minimal mit1≤ j≤sund(h_s−j,x_s−j)6= (h^′_s′−j,x^′_s′−j). Dann gilt

h_{s−( j−1)}= h^′_s′−( j−1)undh_{s−( j−1)}= f (h_s−j||xs−j)undh^′_s′−( j−1)= f (h^′_s′−j||x^′_s′−j).

Somit gibt es eine Kollision der Kompressionsfunktion. Diese kann durch einen Algorithmus

”effizient“ gefunden werden, in dem die Merkle-Damgard Konstruktion f ¨urxundx^′ausgef ¨uhrt wird.

8 6. November 2007

Bemerkung zum Padding

Verschiedene Varianten denkbar. F ¨ur nachfolgenden Satz/Beweis gew ¨unschte Eigenschaft: IstM∈ {0,1}^∗eine Nachricht mit Padding, so soll es keinT∈ {0,1}^∗geben, so daßT||Meine Nachricht mit Padding ist.

Bei begrenzter Nachrichtenl ¨ange von2ⁿBits:

•Nachricht mit beliebigen Bits zur vollen Blockl ¨ange auff ¨ullen.

•L ¨ange der Nachricht als Bitstring fester L ¨angenanh ¨angen (mit f ¨uhrenden Nullen, damit durch die Blockl ¨ange teilbar).

•Liefert aber formal keine Funktion, die auf{0,1}^∗definiert ist.

Bei unbegrenzter Nachrichtenl ¨ange:

•Padding z.B. von der Form1||nl||0||nl−1|| · · · ||0||n0, wobei die ni∈ {0,1}^r−1die Nachrichtenl ¨ange kodieren.

5 6. November 2007

Davies-Meyer Kompressionsfunktion

Man benutzt einen Blockchiffre, um eine Kompressionsfunktion zu erhalten.

BlockchiffreE _:{0,1}^k_{× {0,1}}^b_{→ {0,1}}^b_mit Schl ¨ussell ¨angekund Blockl ¨angeb.

Liefert Kompressionsfunktion f :{0,1}^k+b→ {0,1}^bmit f (K||m) =E_(K,m)⊕m.

Ist nicht sehr effizient (E bietet zuviel Funktionalit ¨at, z.B.D_).

Man verwendet daher meist spezielle Kompressionsfunktionen.

Die Kompressionsfunktion f (K||m) =E_(K,m)besitzt nicht die Einwegeigenschaft bei partiell bekanntem Urbild!

6 6. November 2007

SHA-1

Eingabexmuß Bitl ¨ange|x| ≤2⁶⁴−1haben.

SHA-1 Padding:

•Eingabex. Setzed←(447− |x|) mod 512.

•l←Bin ¨ardarstellung von|x|, wobei|l|= 64.

•y←x||1||0^d||l. Ausgabey.

∨logisches Oder,∧logisches Und,¯·Negation.

80Funktionen:

f_i(B,C,D) =











(B∧C)∨( ¯B∧D) f ¨ur0≤i≤19 B⊕C⊕D f ¨ur20≤i≤39 (B∧C)∨(B∧D)∨(C∧D) f ¨ur40≤i≤59 B⊕C⊕D f ¨ur60≤i≤79.

11 6. November 2007

SHA-1

80Konstanten:

Ki=











5A827999 f ¨ur0≤i≤19 6ED9EBA1 f ¨ur20≤i≤39 8F1BBCDC f ¨ur40≤i≤59 CA62C1D6 f ¨ur60≤i≤79.

ROTL^x=zyklischer Shift umxBits nach Links.+Addition modulo2³². Kompressionsfunktion f :{0,1}⁵¹²× {0,1}¹⁶⁰→ {0,1}¹⁶⁰:

•EingabeM∈ {0,1}⁵¹²,H∈ {0,1}¹⁶⁰.

•SchreibeM = W0||. . .||W15mitWi∈ {0,1}³².

•SchreibeH = H0||. . .||H4mitHi∈ {0,1}³².

•F ¨urt←16, . . . ,79:W_t←ROTL¹(W_t−3⊕W_t−8⊕Wt−14⊕Wt−16).

•A←H0,. . .,E←H4.

12 6. November 2007

Effiziente Hashfunktionen

MD5 (Message Digest 5):

•Von Ron Rivest, 1992. Recht weit verbreitet.

•128 Bit Hashwerte, ist f ¨ur heute etwas knapp bemessen.

•Wurde k ¨urzlich gebrochen, Kollisionen k ¨onnen gefunden werden, daher unsicher!

RIPEMD-160:

•Europ ¨aisches Design (K. U. Leuven und BSI), 1996.

•160 Bit Hashwerte (interne Blockgr ¨oße 512 Bit).

•Im ISO/IEC 10118-3 standardisiert.

•Ebenfalls unsicher.

9 6. November 2007

Effiziente Hashfunktionen

SHA-1 (Secure Hash Algorithm):

•Von der NSA.

•160 Bit Hashwerte (interne Blockgr ¨oße 512 Bit).

•Am weitesten verbreitete Hashfunktion.

•Im ISO/IEC 10118-3 und FIPS180-1 standardisiert.

•Sicherheit angeknackst, liegt bei ca.2⁶³anstelle von2⁸⁰. SHA-256, SHA-384, SHA-512:

•Im FIPS180-2.

•256, 384 und 512 Bit Hashwerte.

•Recht neu (2001).

•Scheinen zur Zeit die einzig sicheren (effizienten) Hashfunktionen zu sein ...

10 6. November 2007

SHA-1

•F ¨urt←0, . . . ,79:

y←ROTL⁵(A) + f_t(B,C,D) + E +W_t+ K_t. E←D,D←C,C←ROTL³⁰(B).

B←A,A←y.

•H0←H0+ A,. . .,H4←H4+ E.

•AusgabeH₀||. . .||H4. SHA-1:

•Eingabex∈ {0,1}^∗.

•x←SHA-1 Padding(x).

•Schreibex = M1||. . .||Mn mitMi∈ {0,1}⁵¹².

•H←67452301 EFCDAB89 98BADCFE 10325476 C3D2E1F0.

•F ¨uri←1, . . . ,n:H←f (M_i,H).

•Ausgabe vonH.

13 6. November 2007