Sicherheit von Encrypt-then-authenticate Π

(1)

Authentisierte Verschlüsselung

Ziel:VertraulichkeitundAuthentizitätder Nachricht SpielAuthentizitätAuthA,Π(n)

SeiAein Angreifer gegenΠ = (Gen,Enc,Dec).

1 k ←Gen(1ⁿ)

2 c ← A^Enc^k^(·)(1ⁿ), d.h.AdarfEnc_k(m)für beliebigem anfragen.

3 SeiQdie Menge derEnc_k(·)-Anfragen undm:=Dec_k(c).

Auth_A,Π(n) =

(1 fallsm6=⊥undm∈/Q

0 sonst .

Stärkere Definition:SeiQ_c die Menge der Antworten aufEnc_k(·) Anfragen. DefiniereSAuthA,Π(n) =1 gdw.m6=⊥undc ∈/Qc. (SAuthA,ΠSpiel einfacher fürAzu gewinnen alsAuthA,Π.)

(2)

Sicherheitsspiel Authentizität

AuthA,Π(n) k←Gen(1ⁿ)

ci←Enck(mi)

Ausgabe:

(1if Deck(c)∈/Q∪ {⊥}

0else

1ⁿ

m_i c_i c

A

Q={m1, . . . , mq}

Berechnecf¨ur ein m /∈Q.

(3)

Authentisierte Sicherheit

DefinitionAuthentizität

Ein VerschlüsselungsverfahrensΠliefertAuthentizitätfalls für alle ppt AngreiferAgilt

Ws[AuthA,Π(n) =1]≤negl(n).

Achtung:CCA-Sicherheit alleine impliziert nicht Authentizität.

DefinitionSicherheit eines Verschlüsselungsverfahrens Ein VerschlüsselungsverfahrenΠliefert authentisierte Sicherheit (ist AE-sicher), falls es CCA-sicher ist und Authentizität liefert.

Auf Englisch: authenticated encryption (AE).

(4)

Alternative Sicherheitsdefinition

DefinitionAuthentisierte Sicherheit

VerschlüsselungsverfahrenΠ = (Gen,Enc,Dec)ist AE’-sicher, falls für alle PPT AngreiferAgilt:

|Pr[A^Enc^k^(·),Dec^k^(·)(1ⁿ) =1]−Pr[A^Enc⁰^k^(·),Dec^k⁰^(·)(1ⁿ) =1]|=negl(n), mit Wahrscheinlichkeitsraum:k ←Gen(1ⁿ)und zufällige Münzwürfe vonA. Die Orakel sind definiert als

Enc_k⁰(m) :=Enc_k(0) Dec_k⁰(c) :=

(m fallscAusgabe von AnfrageEnc_k⁰(m)war.

⊥ sonst .

Man kann zeigen, dass AE’ Sicherheit äquivalent zur starken AE Sicherheit ist.

(5)

Sicherheit von Encrypt-then-authenticate Π

_cca

SatzSicherheit vonΠ_cca

SeiΠ⁰ = (Gen⁰,Enc⁰,Dec⁰)CPA-sicher undΠ_M = (Gen_M,Tag,Vfy)ein sicherer MAC mit eindeutigen Tags. Dann istΠcca= (Gen,Enc,Dec) AE-sicher.

Beweis:

Die CCA-Sicherheit vonΠ_ccawurde bereits gezeigt.

SeiAein Angreifer im SpielAuth_A,Π_cca(n)mit Erfolgsws(n).

Wir konstruieren daraus einen AngreiferA⁰ fürΠ_M. Algorithmus AngreiferA⁰ fürΠ_M

EINGABE: 1ⁿ, Orakelzugriff aufMac_k₂(·)

1 k₁←Gen⁰(1ⁿ)

2 c = (c⁰,t⁰)← A^Enc^k¹^,k²^(·)(1ⁿ), beiEnc_k₁_,k₂(m)-Anfrage berechne c⁰ ←Enc_k⁰

1(m),t =Mac_k₂(c⁰)und antworte mitc = (c⁰,t).

AUSGABE:c= (c⁰,t⁰)

(6)

Sicherheit von Encrypt-then-authenticate Π

_cca

Mac−forge_A0,Π M(n)

k₂←Gen_M(1ⁿ)

ti=Mack₂(mi)∀i

Ausgabe:

Vrfy_k

2(c⁰, t)

1ⁿ

c⁰_i ti

(c⁰, t)

A⁰ k₁←Gen⁰(1ⁿ)

c⁰_i←Enc⁰_k₁(mi) ci= (c⁰_i, ti)

Q⁰ ={c⁰₁, . . . , c⁰_q} Fallsc⁰∈/ Q⁰, Ausgabe(c⁰, t).

1ⁿ

mi

ci

c= (c⁰, t)

A

Q={m1, . . . , mq}

(7)

Sicherheit von Encrypt-then-authenticate Π

_cca

Beweis:Fortsetzung

SeiQ={m₁, . . . ,m_q}die Menge derEnc_k₁_,k₂(·)-Anfragen.

Seienc_i⁰die Verschlüsselungen vonm_i füri=1, . . . ,q in Schritt 2.

FallsAErfolg hat, so giltm:=Dec_k₁_,k₂(c)∈/ Q.

Daraus folgtc⁰ ∈ {c/ ₁⁰, . . . ,c_q⁰}=Q⁰. D.h.t⁰ ist ein Tag für eine nicht an dasMac_k₂(·)-Orakel angefragte Nachrichtc.

Es folgt

Ws[Mac-forge_A⁰_,Π_M(n) =1]≥Ws[Auth_A,Π_cca(n) =1] =(n).

Aus der Sicherheit vonΠM folgt(n)≤negl(n).

Anmerkung:

Πccaist AE-sicher fürjedwedesichere Instantiierung vonΠ_E und Π_M.

(8)

Die Notwendigkeit zweier Schlüssel k

₁

, k

₂

FaustregelVerwendung verschiedener Schlüssel

Verschiedene Sicherheitsziele sollten durch Wahl verschiedener Schlüssel realisiert werden.

Bsp:Unsicheres Encrypt-then-authenticate durch einen Schlüssel Wir verwenden denselben Schlüsselk fürΠ⁰ undΠ_M.

SeiF eine starke Pseudozufallspermutation aufnBits.

D.h.F⁻¹ist ebenfalls eine starke Pseudozufallspermutation.

Wir konstruieren ein CPA-sicheresΠ⁰ mittels

Enc_k⁰(m) =F_k(m||r)fürm∈ {0,1}ⁿ²,r ∈_R{0,1}ⁿ². Wir konstruieren einen sicheren MACΠ_M mittels

Mac_k(c⁰) =F_k⁻¹(c⁰)fürc⁰ ∈ {0,1}ⁿ. Encrypt-then-authenticate liefert

c= (c⁰,t) = (F_k(m||r),F_k⁻¹(F_k(m||r))) = (c⁰,m||r).

D.h.cgibt die Nachrichtmpreis.

(9)

Encrypt-and-authenticate kann unsicher sein

Encrypt-and-authenticate:

c=Enc_k₁_,k₂(m) := (c⁰,t) = (Enc_k⁰

1(m),Mac_k₂(m)).

D.h. der Tag wird für die Nachrichtmberechnet, nicht fürc⁰. SeiΠ⁰ CPA-sicher undΠM = (Gen_M,Mac,Vrfy)ein sicherer Mac.

Dann istΠ⁰_M mitMac_k⁰

2(m) = (m,Mac_k₂(m))ebenfalls sicher, denn gültige Tags(m,t)fürΠ⁰_M liefern gültige TagstfürΠM.

Instantiierung von Encrypt-and-authenticate mitΠ⁰,Π⁰_M liefert c = (c⁰,(m,Mac_k₂(m))).

D.h.cgibt die Nachrichtmpreis, obwohlΠ⁰ undΠ⁰_M sicher sind.

(10)

Authenticate-then-encrypt kann unsicher sein

Authenticate-then-encrypt:c=Enc(m) :=Enc_k⁰

1(m||Mac_k₂(m)) Kodieren Nachrichtm∈ {0,1}^∗ vor Verschlüsselung:

Jede 0 wird als 00 oder 11, jede 1 als 01 oder 10.

Dekodierung in Zweierblöcken: 00 oder 11 zu 0, 01 oder 10 zu 1.

Wir verschlüsselnEnc⁰_k(m) =CMEnc(Kodierung(m)), wobei CMEncdie CPA-sichere Verschlüsselung im Counter-Modus ist:

CMenc(m₁. . .m`) = (ctr,m₁⊕r₁, . . . ,m`⊕r`)mitr_i =F_k(ctr+i mod2ⁿ).

Algorithmus CCA-Angreifer EINGABE:

c =Enc_k₁_,k₂(m) =CMEnc_k₁(Kodierung(m||Mac_k₂(m))) = (ctr,c₁,c₂), Dec_k₁_,k₂(·)-Orakel

Für alle Zweierblöcke inc, die eine Kodierung vonmenthalten:

1 Berechneˆc= (ctr,c₁⊕1ⁿ,c₂)durch Flippen der Bits in inc₁.

2 FrageDec_k₁_,k₂ Orakel nachm=Dec_k₁_,k₂(ˆc).

AUSGABE:m

(11)

Authenticate-then-encrypt kann unsicher sein

Seic = (ctr,c₁,c₂)mitc₁=Kodierung(m)⊕r₁, c₂=Kodierung(Mac_k₂(m))⊕r₂

Dann ist

cˆ= (ctr,Kodierung(m)⊕r₁⊕1ⁿ,c₂) = (ctr,Kodierung(m)⊕r₁,c₂) Flippen der Bits wechselt zwischen den zwei Kodierungen vonm.

t =Mac_k₂(m)bleibt gültig, da nur die Kodierung vonmgeändert wird, nichtmselbst.Mac_k₂ wird nicht aufKodierung(m)

angewendet.

Anmerkungen:

Bsp. zeigt, dass Authenticate-then-encrypt i. allg. nicht sicher ist.

Das SSL (Secure Sockets Layer) Protokoll im Internet verwendet eine sichere Variante von Authenticate-then-encrypt.