Digitale Signaturen - Anwendung von Einmalsignaturen ... · Zwischenschritt 7 2016-11-15 G. Hartung...

0 2016-11-15 G. Hartung – Digitale Signaturen: Anwendung von Einmalsignaturen

FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale SignaturenAnwendung von Einmalsignaturen | Gunnar Hartung, Björn Kaidel

KIT – Die Forschungsuniversität in der Helmholtz-Gemeinschaft www.kit.edu

Socrative: Wiederholung

https://b.socrative.com/login/student/Room: SIGNATUREN

Bitte jetzt einloggen, falls ihr mitmachen wollt :)Bleibt am Besten einfach während der VL eingeloggt.Erstes Quiz läuft bereits & kann ausgefüllt werden!Meinungsbild: Vorlesung am 23.12.?

Inhalt

Mehrmal-Signaturverfahren aus Einmalsignaturverfahren (Kap 2.5)

RSA-basierte Signaturverfahren (Kap. 4)

Mehrmal-Signaturverfahren ausEinmalsignaturverfahren

Bekannt:Einmalsignaturverfahren Σ(1)

Gesucht:q-mal-Signaturverfahren

Erster Ansatz

benutze q Schlüsselpaare

Gen(1k ) :

(pki , ski )← Gen(1)(1k ) für alle i ∈ 1, . . . ,qpk := (pk1, . . . ,pkq) sk := (sk1, . . . , skq , st = 1)

zustandsbehaftetHier: Zustand ist Zähler st ∈ 1, . . . ,q

Sign(sk ,m) :

i := stσi ← Sign(1)(ski ,m)σ := (σi , i)st := st + 1

Vfy(pk ,m, σ = (σi , i)) :

Vfy(1)(pki ,m, σi )?= 1

Erster Ansatz

benutze q SchlüsselpaareGen(1k ) :

Sign(sk ,m) :

Vfy(pk ,m, σ = (σi , i)) :

Vfy(1)(pki ,m, σi )?= 1

Erster Ansatz

Sign(sk ,m) :

Vfy(pk ,m, σ = (σi , i)) :

Vfy(1)(pki ,m, σi )?= 1

Erster Ansatz

Sign(sk ,m) :

Vfy(pk ,m, σ = (σi , i)) :

Vfy(1)(pki ,m, σi )?= 1

Erster Ansatz

Übung 34:

TheoremWenn Σ(1) EUF-1-naCMA-sicher ist, dann ist das obige VerfahrenEUF-q-naCMA-sicher.

TheoremWenn Σ(1) EUF-1-CMA-sicher ist, dann ist das obige VerfahrenEUF-q-CMA-sicher.

Eigenschaften:

|pk | ∈ Ω(q) |sk | ∈ Ω(q) |σ| ∈ Θ(1)

effizienter?

Erster Ansatz

Übung 34:

Eigenschaften:

|pk | ∈ Ω(q) |sk | ∈ Ω(q) |σ| ∈ Θ(1)

effizienter?

Erster Ansatz

Übung 34:

Eigenschaften:

|pk | ∈ Ω(q) |sk | ∈ Ω(q) |σ| ∈ Θ(1)

effizienter?

Zwischenschritt

H Hashfunktion

Gen(1k ) :

(pki , ski )← Gen(1)(1k ) für alle i ∈ 1, . . . ,qpk :=

(pk1, . . . ,pkq) sk := (sk1, . . . , skq , st = 1)

Sign(sk ,m) :

i := stσi ← Sign(1)(ski ,m)σ := (σi , i)

pk1, . . . ,pkq)

st := st + 1

Vfy(pk ,m, σ) :

Vfy(1)(pki ,m, σi )?= 1

und H(pk1, . . . ,pkq)?= pk

Zwischenschritt

H HashfunktionGen(1k ) :

(pki , ski )← Gen(1)(1k ) für alle i ∈ 1, . . . ,qpk :=

(pk1, . . . ,pkq) sk := (sk1, . . . , skq , st = 1)

Sign(sk ,m) :

pk1, . . . ,pkq)

st := st + 1

Vfy(pk ,m, σ) :

Vfy(1)(pki ,m, σi )?= 1

Zwischenschritt

(pki , ski )← Gen(1)(1k ) für alle i ∈ 1, . . . ,qpk := H(pk1, . . . ,pkq) sk := (sk1, . . . , skq , st = 1)

Sign(sk ,m) :

pk1, . . . ,pkq)

st := st + 1

Vfy(pk ,m, σ) :

Vfy(1)(pki ,m, σi )?= 1

Zwischenschritt

Sign(sk ,m) :

i := stσi ← Sign(1)(ski ,m)σ := (σi , i ,pk1, . . . ,pkq)st := st + 1

Vfy(pk ,m, σ) :

Vfy(1)(pki ,m, σi )?= 1

Zwischenschritt

Sign(sk ,m) :

i := stσi ← Sign(1)(ski ,m)σ := (σi , i ,pk1, . . . ,pkq)st := st + 1

Vfy(pk ,m, σ) :

Vfy(1)(pki ,m, σi )?= 1 und H(pk1, . . . ,pkq)

Zwischenschritt

Übung (Bem. 35):

TheoremWenn Σ(1) EUF-1-naCMA-sicher ist und H kollisionsresistent, dann istdas obige Verfahren EUF-q-naCMA-sicher.

TheoremWenn Σ(1) EUF-1-CMA-sicher ist und H kollisionsresistent, dann ist dasobige Verfahren EUF-q-CMA-sicher.

Eigenschaften:

|pk | ∈ O(1) |sk | ∈ Ω(q) |σ| ∈ Ω(q)

jetzt: Einsparen bei der SignaturMerkle-Bäume

Zwischenschritt

Übung (Bem. 35):

Eigenschaften:

|pk | ∈ O(1) |sk | ∈ Ω(q) |σ| ∈ Ω(q)

jetzt: Einsparen bei der Signatur

Merkle-Bäume

Zwischenschritt

Übung (Bem. 35):

Eigenschaften:

|pk | ∈ O(1) |sk | ∈ Ω(q) |σ| ∈ Ω(q)

jetzt: Einsparen bei der SignaturMerkle-Bäume

Merkle-Bäume

Gen(1k ) :

(pki , ski )← Gen(1)(1k ) für alle i ∈ 1, . . . ,qpk := Baum-Hash(pk1, . . . ,pkq) sk := (sk1, . . . , skq , st = 1)

Sign(sk ,m) :i := stσi ← Sign(1)(ski ,m)σ := (σi , i ,pki ,Ko-Pfad)st := st + 1

Vfy(pk ,m, σ) :

berechne Wurzel h′ neu

Vfy(1)(pki ,m, σi )?= 1 und h′ ?

Merkle-Bäume

pk := in σ enthaltenvon Vfy berechnet

Merkle-Bäume

Gen(1k ) :

Vfy(pk ,m, σ) :

Merkle-Bäume

Gen(1k ) :

Vfy(pk ,m, σ) :

Ko-Pfad

DefinitionDer Ko-Pfad eines Knotens v in einem Binärbaum mit Wurzel r ist dieFolge aller Knoten u1, . . . ,un, wobei ui der Geschwisterknoten des i-tenKnotens auf dem Pfad von v zu r ist.

Merkle-Bäume

Gen(1k ) :

Vfy(pk ,m, σ) :

Merkle-Bäume

Gen(1k ) :

Vfy(pk ,m, σ) :

Merkle-Bäume

Eigenschaften:

|pk | ∈ O(1) |sk | ∈ Ω(q) |σ| ∈ Ω(log q)

jetzt: Einsparen beim geheimen Schlüssel

Merkle-Bäume

Eigenschaften:

|pk | ∈ O(1) |sk | ∈ Ω(q) |σ| ∈ Ω(log q)

jetzt: Einsparen beim geheimen Schlüssel

Komprimieren des geheimen Schlüssels

Idee:wähle Schlüsselpaare nicht zufällig, sondern pseudozufälligbenötigt kryptographisch sicheren (!) Pseudozufallsgeneratorformal: Pseudozufallsfunktion

siehe Skript

Eigenschaften:

|pk | ∈ O(1) |sk | ∈ O(1) |σ| ∈ Ω(log q)

Idee:wähle Schlüsselpaare nicht zufällig, sondern pseudozufälligbenötigt kryptographisch sicheren (!) Pseudozufallsgeneratorformal: Pseudozufallsfunktionsiehe Skript

Eigenschaften:

|pk | ∈ O(1) |sk | ∈ O(1) |σ| ∈ Ω(log q)

Idee:wähle Schlüsselpaare nicht zufällig, sondern pseudozufälligbenötigt kryptographisch sicheren (!) Pseudozufallsgeneratorformal: Pseudozufallsfunktionsiehe Skript

Eigenschaften:

|pk | ∈ O(1) |sk | ∈ O(1) |σ| ∈ Ω(log q)

Weitere Verbesserungen

Nachteil bisher immer:(Laufzeit von Gen) ∈ Ω(q)

Lösung:erstelle gesamten Baum mit Einmalsignaturverfahrenjeder Knoten entspricht einem Schlüsselpaarjeder Schlüssel signiert die öffentlichen Schlüssel der Kind-Knoten

Weitere Optimierung:zustandslose Verfahrenbenutze geheime Schlüssel nicht linear, sondern benutze Nachrichtzur Auswahl des geheimen Schlüsselsnutze skm für m ∈ 0, . . . ,2k − 1

Forschung

Merkle-Bäume allgemeines Werkzeugoft nützlichz.B.:

[CW09]Certificate Transparency [LLK13]XMSS [BDH11]

Socrative

Inhalt

Mehrmal-Signaturverfahren aus Einmalsignaturverfahren (Kap 2.5)

RSA-basierte Signaturverfahren (Kap. 4)

Wiederholung: RSA-Annahme

Setting:N = P ·Q, P,Q „große“ Primzahlenϕ(N) = (P − 1)(Q − 1) = |Z∗N | (Eulersche Phi-Funktion)Wähle zufällig e ∈N, sodass ggT(e, ϕ(N)) = 1.Dann existiert d ∈N mit e · d ≡ 1 mod ϕ(N).Für x ∈ ZN gilt dann auch xe·d ≡ x mod N.

RSA-Problem:Geg. N, e (wie oben definiert) und y ← ZN , findex ∈ ZN : xe ≡ y mod N.

Setting:N = P ·Q, P,Q „große“ Primzahlenϕ(N) = (P − 1)(Q − 1) = |Z∗N | (Eulersche Phi-Funktion)Wähle zufällig e ∈N, sodass ggT(e, ϕ(N)) = 1.Dann existiert d ∈N mit e · d ≡ 1 mod ϕ(N).Für x ∈ ZN gilt dann auch xe·d ≡ x mod N.

RSA-Problem:Geg. N, e (wie oben definiert) und y ← ZN , findex ∈ ZN : xe ≡ y mod N.

RSA-Annahme:∀ PPT A gilt:

Pr[A(1k ,N,e, y) = x : xe ≡ y mod N

N,e, y wie oben

]≤ negl(k)

für eine in k vernachlässigbare Funktion negl.

Informell:Kein PPT-Angreifer löst das RSA-Problem mitnicht-vernachlässigbarer Erfolgswahrscheinlichkeit.

Textbook-RSA

Gen(1k ) :ziehe zufällig Primzahlen P, QN := P ·QWähle e > 2 mit ggT(e, ϕ(N)) = 1d := e−1 mod ϕ(N)pk = (N,e)sk = d

Sign(sk ,m) :σ := md (mod N)

Vfy(pk ,m, σ) :

σe ?= m (mod N)

Korrektheit:

σe ≡ (md )e ≡ mde mod ϕ(N) ≡ m1 ≡ m (mod N)

Textbook-RSA

Vfy(pk ,m, σ) :

σe ?= m (mod N)

Korrektheit:

Textbook-RSA

Vfy(pk ,m, σ) :

σe ?= m (mod N)

Korrektheit:

Sicherheit

Ideen?

Nicht EUF-NMA-sicher:Wähle σ∗ ← ZNberechne m∗ := (σ∗)e mod Ngib (m∗, σ∗) als Fälschung aus

Homomorph:Wenn σ1, σ2 gültige Signaturen für m1,m2 sind,dann ist σ3 := σ1σ2 mod N gültig für m3 := m1m2 mod N:

σe3 ≡ (σ1σ2)

e ≡ σe1 σe

2 ≡ m1m2 ≡ m3 (mod N)

Übung:Das Textbook-RSA-Signaturverfahren ist UUF-NMA-sicher, wenn dieRSA-Annahme gilt.

Sicherheit

σe3 ≡ (σ1σ2)

e ≡ σe1 σe

2 ≡ m1m2 ≡ m3 (mod N)

Sicherheit

σe3 ≡ (σ1σ2)

e ≡ σe1 σe

2 ≡ m1m2 ≡ m3 (mod N)

Sicherheit

σe3 ≡ (σ1σ2)

e ≡ σe1 σe

2 ≡ m1m2 ≡ m3 (mod N)

RSA-basierte Signaturen

Wie konstruiert man sichere RSA-basierte Signaturen?

Häufig: geeignete Vorverarbeitung/Codierung von mRSA PKCS #1 v1.5 (Kap. 6.3)RSA-FDH (Full Domain Hash, Kap. 4.2)RSA-PSS (Probabilistic Signature Scheme, Skript)

Andere Ansätze:Gennaro-Halevi-Rabin-Signaturverfahren (Kap. 4.3):

EUF-naCMA-sicher unter stärkerer Annahme

Hohenberger-Waters-Signaturverfahren (Kap. 4.4, diese VL):auf Basis von GHR, aber wieder unter RSA-Annahme

RSA PKCS #1 v1.5

PKCS #1:Public-Key Cryptography Standard #1Ursprünglich entwickelt von RSA SecurityVersion 1.5: November 1993Heute aktuell: Version 2.2 (Oktober 2012)enthält auch Variante von RSA-PSSSiehe

https://www.emc.com/emc-plus/rsa-labs/standards-initiatives/pkcs-rsa-cryptography-standard.htmhttps://tools.ietf.org/html/rfc3447

Andere PKCS definieren...Speicherformat für öffentliche/private Schlüssel,Padding-Funktionen für Block-Chiffren,APIs für Smart-Cards,. . .

RSA PKCS #1 v1.5 (Kap. 6.3)

Gen(1k ) : wie bei Textbook-RSA

Sign(sk ,m) :sei H eine kollisionsresistente Hashfunktion.codiere m als

m′ := 0x00 ‖ 0x01 ‖ 0xFF ‖ . . . ‖ 0xFF ‖ 0x00 ‖ Angabe von H ‖ H(m)

Typ der Codierung: Signatur

Padding

Trenner

Welche Hashfkt.?

Hash-Wert

σ := (m′)d (mod N)

Vfy(pk ,m, σ) :berechne m′ := σe (mod N)prüfe, ob m′ korrekte Codierung für m

Padding

Trenner

Welche Hashfkt.?

Hash-Wert

σ := (m′)d (mod N)

Padding

Trenner

Welche Hashfkt.?

Hash-Wert

σ := (m′)d (mod N)

Padding

Trenner

Welche Hashfkt.?

Hash-Wert

σ := (m′)d (mod N)

Padding

Trenner

Welche Hashfkt.?

Hash-Wert

σ := (m′)d (mod N)

Padding

Trenner

Welche Hashfkt.?

Hash-Wert

σ := (m′)d (mod N)

Padding

Trenner

Welche Hashfkt.?

Hash-Wert

σ := (m′)d (mod N)

Padding

Trenner

Welche Hashfkt.?

Hash-Wert

σ := (m′)d (mod N)

Padding

Trenner

Welche Hashfkt.?

Hash-Wert

σ := (m′)d (mod N)

Sicherheit von RSA PKCS #1 v1.5 (Kap. 6.3)

Sicherheit?

unklarkeine Angriffe und kein Sicherheitsbeweis bekanntAusnahme: Angriff bei bestimmtem Implementierungsfehler (Kap. 6.3)

Warum relevant?altaber in der Realität verwendet

Socrative

References I

J. Buchmann, E. Dahmen und A. Hülsing. „XMSS - A PracticalForward Secure Signature Scheme Based on MinimalSecurity Assumptions“. In: Post-Quantum Cryptography: 4thInternational Workshop, PQCrypto 2011, Taipei, Taiwan,November 29 – December 2, 2011. Proceedings. Hrsg. vonB.-Y. Yang. Berlin, Heidelberg: Springer Berlin Heidelberg,2011, S. 117–129. DOI: 10.1007/978-3-642-25405-5_8. URL:http://dx.doi.org/10.1007/978-3-642-25405-5_8.

S. A. Crosby und D. S. Wallach. „Efficient Data Structures forTamper-evident Logging“. In: Proceedings of the 18thConference on USENIX Security Symposium. SSYM’09.Montreal, Canada: USENIX Association, 2009, S. 317–334.URL: http://dl.acm.org/citation.cfm?id=1855768.1855788.

References II

B. Laurie, A. Langley und E. Kasper. Certificate Transparency.IETF RFC 6962, retrieved Nov. 21st 2016. 2013. URL:

https://tools.ietf.org/html/rfc6962.

Digitale Signaturen - Anwendung von Einmalsignaturen ... · Zwischenschritt 7 2016-11-15 G. Hartung...

Documents

Transcript of Digitale Signaturen - Anwendung von Einmalsignaturen ... · Zwischenschritt 7 2016-11-15 G. Hartung...