Angriffe und Sicherheitsmodelle

Asymmetrisch

(Asymmetrisches, public key) Signatursystem:

•dgeheim,e ¨offentlich.

•dschwer oder gar nicht auseberechenbar.

•Signierer besitzteundd.

•Signierer verwendetd zum Signieren.

•Empf ¨anger verwendetezum Verifizieren.

3 19. Oktober 2006

Angriffe und Sicherheitsmodelle

Das Prinzip von Kerkhoff soll gelten

(vielleicht ein Grund dagegen weniger hier).

Ziele des Angreifers:

•Existentielle F ¨alschung. Der Angreifer berechnet eine Signatur f ¨ur eine Nachricht.

•Universelle F ¨alschung: Der Angreifer kann Signaturen f ¨ur jede beliebige Nachricht berechnen.

•Total break: Der Angreifer berechnet den geheimen Schl ¨ussel des Signierers.

4 19. Oktober 2006

Konzepte der Signatur

Nachrichten aus Nachrichtenraum:m∈M⊆A^∗₁. Signaturen aus Signaturenraum:σ∈S⊆A^∗₂.

Schl ¨ussel sind aus Schl ¨usselr ¨aumen:d∈K₁⊆A^∗₃,e∈K₂⊆A^∗₄. SignierungsverfahrenS : K₁×M S.

VerifizierungsverfahrenV : K2×M×S→ {0,1}.

Signatur von Nachrichtmmit Schl ¨usseld: σ←S(d,m).

Verifizierung vonm,σmit Schl ¨ussele: f ←V (e,m,σ).

S undV sind effiziente Verfahren (z.B. Programme).

S undV d ¨urfen probabilistisch sein (d ¨urfen den Zufall verwenden).

S kann mehrdeutig sein ( ).

1 19. Oktober 2006

Symmetrisch

Symmetrisches Signatursystem (secret key, MAC):

•d = e(oderdleicht auseberechenbar).

•Sender und Empf ¨anger habeneals gemeinsames Geheimnis.

•Gemeinhin als Message Authentication Code (MAC) bezeichnet, meistens deterministisch.

Erweiterte Nachrichten werden verschickt:(m,σ)woσ←S(d,m).

Integrit ¨at der erweiterten Nachrichten(m,σ)wird vonV mitS(d,m) =σ

¨uberpr ¨uft.

Hashfunktion: MAC ohne geheimen Schl ¨ussel.

2 19. Oktober 2006

Brute-Force (exhaustive search) Angriff

Dieser Angriff kann bei Kryptosystemen mit komplexit ¨atstheoretischer Sicherheit immer ausgef ¨uhrt werden.

F ¨ur Verschl ¨usselungsverfahren zum Beispiel:

1. Alle Entschl ¨usselungsschl ¨ussel ausprobieren.

2. Schauen, ob das Entschl ¨usselte Sinn macht (d.h. Ausnutzen von Redundanz in beispielsweise geschriebener Sprache etc.) oder ob der Schl ¨ussel zu evtl. bekannten Klartext- und Chiffretextpaaren paßt.

Gegenmaßnahme im allgemeinen:

•Ausreichend großen Schl ¨usselraum haben, somit Aufwand f ¨ur Angriff groß genug machen.

7 19. Oktober 2006

Bemerkungen

Die meisten heute verwendeten Kryptosysteme sindunsicher,

•wenn ein Angreifer unbegrenzte Rechenleistung hat.

Dar ¨uberhinaus sind die meisten heute verwendeten Public-Key Verfahren bereitsunsicher,

•wenn ein Angreifer auch nur gewisse Operationen besonders schnell ausf ¨uhren kann (Quantencomputer).

Es gibt keine Kryptosysteme mit komplexit ¨atstheoretischer Sicherheit, deren Sicherheit mathematisch bewiesen wurde (dies w ¨urde im EndeffektP 6=N P implizieren).

8 19. Oktober 2006

Angriffe und Sicherheitsmodelle

Informationen (F ¨ahigkeiten) des Angreifers in aufsteigender Reihenfolge:

•Key-only Angriff: Der Angreifer kennt nur den ¨offentlichen Schl ¨ussel des Signierers.

•Known-Signature Angriff: Der Angreifer erh ¨alt Nachrichten und die zugeh ¨origen Signaturen.

•Chosen-Message Angriff: Der Angreifer kann sich die Nachrichten aussuchen und erh ¨alt die zugeh ¨origen Signaturen.

Den letzte Variante gibt es auch in adaptiver Form.

St ¨arkstes Sicherheitsmodell: Sicherheit bez ¨uglich existenzieller F ¨alschung unter adaptiven Chosen-Message Angriffen.

5 19. Oktober 2006

Verwendung von Hashfunktionen

HashfunktionH : M→ {0,1}^∗.

Im allgemeinen wird nur ein HashwertH(m)und nichtmselbst signiert.

•Effizienter, daH(m)viel k ¨urzer alsmist.

•Beweisbare Sicherheit von in der Praxis relevanten Verfahren (allerdings im Zufallsorakelmodell, RO).

Offenbar mußH kollisionsfrei sein, man kann keine zwei Nachrichtenm1,m2mitH(m1) = H(m2)berechnen.

6 19. Oktober 2006

Protokolle

Eine Angreiferin Eve ohne Kenntnis vondm ¨ußte Signaturen vonm f ¨alschen, um Bob zu ¨uberzeugen.

Angreifer k ¨onnen aktiv oder passiv sein (substitute, replay, insertion attacks).

Sicherheitsbeweis eines Protokolls:

•Man zeigt, daß man mit Hilfe eines Angreifers zugrunde liegende kryptographische Primitive angreifen kann beziehungsweise daß man damit ein zugrundeliegendes, “schwieriges” mathematisches Berechnungsproblem l ¨osen kann.

11 19. Oktober 2006

Vergleich Public-Key und Secret-Key Kryptographie

Public-Key:

•gr ¨oßere Funktionalit ¨at, z.B. Schl ¨usselaustausch, Signaturen, etc.

•basiert auf mathematischen Problemen (aus der Zahlentheorie).

Secret-Key:

•effizienter in Verschl ¨usselung (ebenso MAC und Hashfunktionen).

Hybridverfahren:

•Austausch geheimer, sogenannter Sitzungsschl ¨ussel (Session Keys) mittels Public-Key Kryptographie.

•Danach Verwendung symmetrischer Verfahren.

9 19. Oktober 2006

Protokolle

Sind definierte Abfolgen von Kommunikations- und

Berechnungschritten zwischen mindestens zwei Teilnehmern zum L ¨osen kryptographischer Aufgaben.

Beispiel: Challenge-Response Protokoll zur Identifikation.

•Alice besitzt ¨offentlichen Schl ¨usseleund geheimen Schl ¨usseld eines Signaturverfahrens.

•Bob soll ¨uberzeugt werden, daß Alicedkennt, ohne daßdan Bob geschickt wird.

1. Bob w ¨ahlt zuf ¨allige Nachrichtmund schickt sie an Alice.

2. Alice schickt Bob ihre Signatur der Nachrichtmunterd.

3. Bob ist ¨uberzeugt, wenn die Signatur bzgl.eg ¨ultig ist.

10 19. Oktober 2006