Zusammenfassung
Pseudozufallszahlen bzw. -generatoren:
•Durch Blockchiffre im CBC oder CTR Mode.
•Durch Hashfunktionen.
•Ideal: Nicht effizient von echten Zufallszahlen unterscheidbar.
•F ¨ur den seed muß man genug Entropie aus dem System sammeln ...
Man kann zeigen, daß die folgenden Aussagen im wesentlichen
¨aquivalent sind:
•Es gibt Einwegfunktionen.
•Es gibt ideale Pseudozufallsgeneratoren.
•Es gibt ideale Blockchiffren.
3 16. November 2006
Public-Key Kryptographie
Zwei Probleme mit der symmetrischen Kryptographie:
•Wie geheime Schl ¨ussel austauschen?
•nLeute haben paarweise verschiedene Schl ¨usselpaare: Also muß jedern(n−1)/2viele geheime Schl ¨ussel speichern. Ist nicht praktikabel.
Diese und weitere Probleme werden durch die Public-Key Kryptographie gel ¨ost.
Jeder Teilnehmer hat einen ¨offentlichen und einen geheimen Schl ¨ussel:
•Zum Verschl ¨usseln wird der ¨offentliche und zum Entschl ¨usseln der geheime Schl ¨ussel verwendet.
•Zum Unterschreiben wird der geheime und zum Verifizieren der
¨offentliche Schl ¨ussel verwendet.
4 16. November 2006
Zusammenfassung
Bisher symmetrische Kryptographie behandelt.
Verschl ¨usselung - Blockchiffren:
•E : K→S({0,1}b),D : K→S({0,1}b).
•Ideal: F ¨ur zuf ¨alligesk∈K istE(k,·)nicht von zuf ¨allig gew ¨ahlter Funktion ausS({0,1}b)effizient zu unterscheiden.
•Lange Nachrichten: Blockweiser Betrieb (CBC, CTR).
Verschl ¨usselung - Stromchiffren:
•Nachrichtenstrom wird durch⊕mit Schl ¨usselstrom verschl ¨usselt, initialisiert durch Schl ¨usselk∈K.
•Ideal: Schl ¨usselstrom zuf ¨allig (one time pad).
•Abschw ¨achung: Pseudozufallszahlen.
Angestrebte Sicherheit:#K, exhaustive Keysearch.
1 16. November 2006
Zusammenfassung
Hashfunktionen - ohne Schl ¨ussel (MDC):
•h :{0,1}∗→ {0,1}n.
•Ideal: Zufallsfunktion, speziell kollisionsfrei und Einwegfunktion.
•Kurze Nachrichten: Kompressionsfunktion.
•Lange Nachrichten: Iterierung, Merkle-Damgard Konstruktion.
•Angestrebte Sicherheit: ca.2nAufwand f ¨ur Urbilder, ca.2n/2 Aufwand f ¨ur Kollision.
Hashfunktionen - mit geheimem Schl ¨ussel (MAC):
•h : K× {0,1}∗→ {0,1}n.
•Ideal: Zufallsfunktion, niemand kann ohne Schl ¨usselk F ¨alschungen(x,y)mity = hk(x)bestimmen.
•Konstruktion durch Blockchiffre (CBC-MAC) oder Kombination (HMAC).
•Angestrebte Sicherheit: ca.2n/2 Aufwand f ¨ur F ¨alschung.
2 16. November 2006
Zertifikate
Also Problem: Wie kann Bob sicher sein, daß ein ¨offentlicher Schl ¨ussel auch Alice geh ¨ort?
L ¨osung: Zertifizierungsbeh ¨orde (Certificate Authority, CA).
Die CA erstellt f ¨ur Alice eine digitale Unterschrift ihres ¨offentlichen Schl ¨ussels und identifizierender Information, z.B. Alice’s email Adresse oder Paßnummer. Bob ¨uberpr ¨uft dann die Unterschrift unter Verwendung des ¨offentlichen Schl ¨ussels der CA.
Woher weiß Bob, daß der ¨offentliche Schl ¨ussel der CA richtig ist?
”Den kennt ja jeder“. Problem ist auf nur wenige ¨offentliche Schl ¨ussel reduziert.
•Manchmal in Browsern fest eingebaut.
F ¨uhrt auf Public Key Infrastructure (PKI) ...
7 16. November 2006
Einwegfunktionen mit Fallt ¨ ur
Sei f : M→Ceine Funktion des endlichen Nachrichten- und ChiffretextraumsMbzw.C.
• f soll eine Einwegfunktion sein.
•Mit Hilfe gewisser zus ¨atzlicher Informationendsoll es leicht sein, Urbilder unter f zu berechnen.
Dann nennt man diese InformationendFallt ¨ur-Informationen und f eine Fallt ¨ur-Einwegfunktion.
Ein injektives f liefert Kryptosystem:
•Verschl ¨usseln durchc←f (m).
•Entschl ¨usseln durchm←f−1(c), mittels des geheimend.
Einwegfunktionen mit Fallt ¨ur basieren auf algorithmischen, zahlentheoretischen Problemen.
8 16. November 2006
Hybridverschl ¨ usselung
Public-Key Kryptographie liefert viel neue Funktionalit ¨at.
Public-Key Verschl ¨usselung ist aber auch viel langsamer als symmetrische Verschl ¨usselung.
Daher Hybridverschl ¨usselung:
•Nachricht mit symmetrischen Verfahren verschl ¨usseln.
•Den zugeh ¨origen symmetrischen Schl ¨ussel mit Public-Key Verfahren verschl ¨usseln.
•Alles an Empf ¨anger schicken.
•Der entschl ¨usselt zun ¨achst den symmetrischen Schl ¨ussel, und dann die Nachricht.
5 16. November 2006
Mann-in-der-Mitte Angriffe
Angenommen, Bob will mit Alice kommunizieren und Eve kontrolliert die Verbindung. Dann kann folgendes passieren:
•Bob fragt Alice nach ihrem ¨offentlichen Schl ¨ussel.
•Eve f ¨angt die Nachricht ab und schickt ihren eigenen ¨offentlichen Schl ¨ussel an Bob.
•Bob verschl ¨usselt seine Nachricht damit und schickt sie an Alice.
•Eve f ¨angt die Nachricht ab und entschl ¨usselt. Dann verschl ¨usselt sie die Nachricht mit Alice’s ¨offentlichem Schl ¨ussel und schickt dies an Alice.
•Weder Bob noch Alice sch ¨opfen Verdacht.
Dies ist ein prinzipielles Problem, was auch mit anderen Public-Key Verfahren auftritt.
6 16. November 2006