Asymmetrisch
(Asymmetrisches, public key) Signatursystem:
•dgeheim,e ¨offentlich.
•dschwer oder gar nicht auseberechenbar.
•Signierer besitzteundd.
•Signierer verwendetd zum Signieren.
•Empf ¨anger verwendetezum Verifizieren.
3 19. Oktober 2006
Angriffe und Sicherheitsmodelle
Das Prinzip von Kerkhoff soll gelten
(vielleicht ein Grund dagegen weniger hier).
Ziele des Angreifers:
•Existentielle F ¨alschung. Der Angreifer berechnet eine Signatur f ¨ur eine Nachricht.
•Universelle F ¨alschung: Der Angreifer kann Signaturen f ¨ur jede beliebige Nachricht berechnen.
•Total break: Der Angreifer berechnet den geheimen Schl ¨ussel des Signierers.
4 19. Oktober 2006
Konzepte der Signatur
Nachrichten aus Nachrichtenraum:m∈M⊆A∗1. Signaturen aus Signaturenraum:σ∈S⊆A∗2.
Schl ¨ussel sind aus Schl ¨usselr ¨aumen:d∈K1⊆A∗3,e∈K2⊆A∗4. SignierungsverfahrenS : K1×M S.
VerifizierungsverfahrenV : K2×M×S→ {0,1}.
Signatur von Nachrichtmmit Schl ¨usseld: σ←S(d,m).
Verifizierung vonm,σmit Schl ¨ussele: f ←V (e,m,σ).
S undV sind effiziente Verfahren (z.B. Programme).
S undV d ¨urfen probabilistisch sein (d ¨urfen den Zufall verwenden).
S kann mehrdeutig sein ( ).
1 19. Oktober 2006
Symmetrisch
Symmetrisches Signatursystem (secret key, MAC):
•d = e(oderdleicht auseberechenbar).
•Sender und Empf ¨anger habeneals gemeinsames Geheimnis.
•Gemeinhin als Message Authentication Code (MAC) bezeichnet, meistens deterministisch.
Erweiterte Nachrichten werden verschickt:(m,σ)woσ←S(d,m).
Integrit ¨at der erweiterten Nachrichten(m,σ)wird vonV mitS(d,m) =σ
¨uberpr ¨uft.
Hashfunktion: MAC ohne geheimen Schl ¨ussel.
2 19. Oktober 2006
Brute-Force (exhaustive search) Angriff
Dieser Angriff kann bei Kryptosystemen mit komplexit ¨atstheoretischer Sicherheit immer ausgef ¨uhrt werden.
F ¨ur Verschl ¨usselungsverfahren zum Beispiel:
1. Alle Entschl ¨usselungsschl ¨ussel ausprobieren.
2. Schauen, ob das Entschl ¨usselte Sinn macht (d.h. Ausnutzen von Redundanz in beispielsweise geschriebener Sprache etc.) oder ob der Schl ¨ussel zu evtl. bekannten Klartext- und Chiffretextpaaren paßt.
Gegenmaßnahme im allgemeinen:
•Ausreichend großen Schl ¨usselraum haben, somit Aufwand f ¨ur Angriff groß genug machen.
7 19. Oktober 2006
Bemerkungen
Die meisten heute verwendeten Kryptosysteme sindunsicher,
•wenn ein Angreifer unbegrenzte Rechenleistung hat.
Dar ¨uberhinaus sind die meisten heute verwendeten Public-Key Verfahren bereitsunsicher,
•wenn ein Angreifer auch nur gewisse Operationen besonders schnell ausf ¨uhren kann (Quantencomputer).
Es gibt keine Kryptosysteme mit komplexit ¨atstheoretischer Sicherheit, deren Sicherheit mathematisch bewiesen wurde (dies w ¨urde im EndeffektP 6=N P implizieren).
8 19. Oktober 2006
Angriffe und Sicherheitsmodelle
Informationen (F ¨ahigkeiten) des Angreifers in aufsteigender Reihenfolge:
•Key-only Angriff: Der Angreifer kennt nur den ¨offentlichen Schl ¨ussel des Signierers.
•Known-Signature Angriff: Der Angreifer erh ¨alt Nachrichten und die zugeh ¨origen Signaturen.
•Chosen-Message Angriff: Der Angreifer kann sich die Nachrichten aussuchen und erh ¨alt die zugeh ¨origen Signaturen.
Den letzte Variante gibt es auch in adaptiver Form.
St ¨arkstes Sicherheitsmodell: Sicherheit bez ¨uglich existenzieller F ¨alschung unter adaptiven Chosen-Message Angriffen.
5 19. Oktober 2006
Verwendung von Hashfunktionen
HashfunktionH : M→ {0,1}∗.
Im allgemeinen wird nur ein HashwertH(m)und nichtmselbst signiert.
•Effizienter, daH(m)viel k ¨urzer alsmist.
•Beweisbare Sicherheit von in der Praxis relevanten Verfahren (allerdings im Zufallsorakelmodell, RO).
Offenbar mußH kollisionsfrei sein, man kann keine zwei Nachrichtenm1,m2mitH(m1) = H(m2)berechnen.
6 19. Oktober 2006
Protokolle
Eine Angreiferin Eve ohne Kenntnis vondm ¨ußte Signaturen vonm f ¨alschen, um Bob zu ¨uberzeugen.
Angreifer k ¨onnen aktiv oder passiv sein (substitute, replay, insertion attacks).
Sicherheitsbeweis eines Protokolls:
•Man zeigt, daß man mit Hilfe eines Angreifers zugrunde liegende kryptographische Primitive angreifen kann beziehungsweise daß man damit ein zugrundeliegendes, “schwieriges” mathematisches Berechnungsproblem l ¨osen kann.
11 19. Oktober 2006
Vergleich Public-Key und Secret-Key Kryptographie
Public-Key:
•gr ¨oßere Funktionalit ¨at, z.B. Schl ¨usselaustausch, Signaturen, etc.
•basiert auf mathematischen Problemen (aus der Zahlentheorie).
Secret-Key:
•effizienter in Verschl ¨usselung (ebenso MAC und Hashfunktionen).
Hybridverfahren:
•Austausch geheimer, sogenannter Sitzungsschl ¨ussel (Session Keys) mittels Public-Key Kryptographie.
•Danach Verwendung symmetrischer Verfahren.
9 19. Oktober 2006
Protokolle
Sind definierte Abfolgen von Kommunikations- und
Berechnungschritten zwischen mindestens zwei Teilnehmern zum L ¨osen kryptographischer Aufgaben.
Beispiel: Challenge-Response Protokoll zur Identifikation.
•Alice besitzt ¨offentlichen Schl ¨usseleund geheimen Schl ¨usseld eines Signaturverfahrens.
•Bob soll ¨uberzeugt werden, daß Alicedkennt, ohne daßdan Bob geschickt wird.
1. Bob w ¨ahlt zuf ¨allige Nachrichtmund schickt sie an Alice.
2. Alice schickt Bob ihre Signatur der Nachrichtmunterd.
3. Bob ist ¨uberzeugt, wenn die Signatur bzgl.eg ¨ultig ist.
10 19. Oktober 2006