Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar...

23
1 20.06.22 Proseminar Kryptographie – Kolja Engelmann Sichere Signatursysteme Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383

Transcript of Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar...

Page 1: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

111.04.23

Proseminar Kryptographie – Kolja Engelmann

Sichere SignatursystemeSichere Signatursysteme

Proseminar Kryptographie

Kolja Engelmann, 708383

Page 2: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 2

InhaltInhalt

Einleitung One Time Signatures

1-Bit SignaturenN-Bit SignaturenLamport Signaturschema

Unwiderlegbare Signaturen Fail–Stop Signaturen Fazit

Page 3: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 3

EinleitungEinleitung

Gesetz zur digitalen Signatur (Informations- und Kommunikationsdienste-Gesetz)Erste Entwurfsvorlage 11. Dezember 1996Gleichstellung der Rechtsgültigkeit von digitalen

und händischen UnterschriftenStrenge Sicherheitsanforderungen mit der

Annäherung an eine Unfälschbarkeit Ausgangspunkt: Diffie und Hellmann Idee

1976 asymmetrische Kryptoalgorithmen zur Signierung zu verwendenRSA und ElGamal (DSS)

Page 4: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 4

Fälschungssicherheit v. SignatursystemenFälschungssicherheit v. Signatursystemen

Verwendet ein Signatursystem eine Trapdoor-Funktion kann dieses nicht unbedingt informationstheoretisch fälschungssicher seinMit theoretisch unbegrenzten Resourcen

können Signaturen gefälscht werdenAber: Kryptographisch sicher, mit begrenzten

Resourcen nicht in genügend kurzer Zeit fälschbar

Page 5: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 5

Beweisbar sichere SignatursystemeBeweisbar sichere Signatursysteme

Ziel: beweisbar sicheres SignatursystemAufwand der Problemlösung soll auf der

Komplexität eines bekannten Problems beruhen.

Mathematische Probleme:Zerlegung großer Zahlen in PrimzahlfaktorenBestimmen von Logarithmen in einem

RestklasenringBestimmung der q-ten Wurzel in

Pr oblem nicht leicht lösbar Fälschen der Signatur schwer

n *Z

Page 6: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 6

Vorberechnung:

Alice generiert pro zu signierendem Bit zwei Zufallszahlen

Alice berechnet

Alice veröffentlich

Einschränkung:

One Time SignaturenOne Time Signaturen

1 2x , x

1 1 2 2y H(x ), y H(x )

entspricht entspricht1 2y 1, y 0����������������������������

Bitweise Signierung einer Nachricht mittels einer Hashfunktion

1 2 1 2x , x , y , y 64bit

Quelle:Kryptographische Verfahren und Anwendungen,Universität Siegen 2004

Page 7: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 7

Signieren

Für jedes Bit i der Nachricht m wird die Signatur S wie folgt gebildert

Verifizieren

Für jeden Wert i der Signatur S wird überprüft, ob

One Time SignaturenOne Time Signaturen

i i,0i

i i,1

m 0, xS

m 1, x

i i i,0i

i i i,1

m 0,H(S ) yS

m 1,H(S ) y

Quelle:Kryptographische Verfahren und Anwendungen,Universität Siegen 2004

Page 8: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 8

Lamport SignaturschemaLamport Signaturschema

1 kK 1 k 1,x k,xsig (x ,..., x ) (y ,..., y )

k

i, j i, jz f (y ),1 i k, j 0,1

i, jy Y,1 i k, j 0,1

f : Y Z

k0,1

Öffentlicher Schlüssel:

Privater Schlüssel:

i, jy

i, jz

Signieren einer Nachricht x:

Verifizieren einer Nachricht:

i

K 1 k 1 k

i i,x

ver ((x ,..., x ), (a ,..., a )) true

f (a ) z ,1 i k

Page 9: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 9

Nachricht:

Funktion

Öffentlicher/Privater Schlüssel

Beispiel Lamport Signaturschema Beispiel Lamport Signaturschema

1,0 1,0

1,1 1,1

2,0 2,0

2,1 2,1

3,0 3,0

3,1 3,1

y 5831 z 2009

y 735 z 3810

y 803 z 4672

y 2467 z 4721

y 4285 z 268

y 6449 z 5731

x (1,1,0)

xf (x) 3 mod 7879

7351,1

24672,1

42853,0

3 mod 7879 3810 z

3 mod 7879 4721 z

3 mod 7879 268 z

Signatur:

Verifizierung

1,1 2,1 3,0(y , y , y ) (735,2467,4285)

Page 10: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 10

Vorberechnung:

Alice generiert pro zu signierendem Bit zwei Zufallszahlen

Alice berechnet

M=#Anzahl der möglichen Werte der Nachricht mit n Bit

Beispiel: 2-Bit Nachricht

Alice veröffentlicht

One Time SignaturenOne Time Signaturen

nM 2

1 2x , xM M

1 1 2 2y H (x ), y H (x )

1 2y , y

Signieren einer N-Bit Nachricht

41 1

42 2

y H (x) H(H(H(H(x ))))

y H (x) H(H(H(H(x ))))

Quelle:Kryptographische Verfahren und Anwendungen,Universität Siegen 2004

Page 11: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 11

Signieren:

Verifizieren:

Beweis:

One Time SignaturenOne Time Signaturen

M M n M n n M1 1 1 1 1

M n 1 n 1 M 1 n M2 2 2 2 2

y H (x ) H (s ) H (H (x )) H (x )

y H (x ) H (s ) H (H (x )) H (x )

n1 1

M 1 n2 2

s H (x )

s H (x )

M n1 1

n 12 2

y H (s )

y H (s )

Beispiel:

Alice will die 2–Bit Nachricht '11' signieren

Alice berechnet/veröffentlicht:

Signieren:

Verifizieren:

4 41 1 2 2y H (x ), y H (x )

2

31 1 1 2

2 2

n 3('11'),m 2

s H (x ) '11',s ,s

s x

M n 1 ?1 1 1

1 2n 1 42 2 2

y H (s ) H (s )y y

y H (s ) H (s )

Quelle:Kryptographische Verfahren und Anwendungen,Universität Siegen 2004

Page 12: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 12

One Time SignatureOne Time Signature

Nachteile bitweise signieren Datenmenge, da für n Bit 2n*k Bit übertragen werden

(k=Schlüssellänge)

Nachteile n-Bit Signatur Rechenleistung,da bei Signierung von n Bit die Funktion

H 2*2n mal aufgerufen werden muss

Nachteil Zufallszahlen sind nach einer Verifikation bekannt Zufallszahlen sind nach einer Verifikation bekannt Zufallszahlenorakel muss kollisionsfrei sein

Page 13: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 13

Unwiderlegbare SignaturenUnwiderlegbare Signaturen

Idee: Signaturen können ohne Mithilfe des Signierenden nicht überprüft werdenChallenge-Response ModellDer Signierende erfährt so vom Versuch einer

FälschungDer Überprüfende kann sicher sein, dass der

Signierende die angenommene Person verkörpert

Page 14: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 14

Chaum-van Antwerpen SignaturschemaChaum-van Antwerpen Signaturschema

p,q =Primzahlen | p 2q+1

pa *,1 a q 1 Z

p *Z

K (p, ,a, )

a mod p

aKy sig (x) x mod p,

x Nachricht G

pG *| Ordnung qZ

Öffentlicher Schlüssel:

Privater Schlüssel:

p, , a

Verfikation der Signatur y:

1. Wähle Zufallszahlen

2. Berechne

3. Berechne

4. Akzeptiere Signatur genau dann, wenn

1 2 qe ,e *Z

e1 e2c y mod p

1a modqd c mod p

e1 e2d x mod p

Page 15: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 15

Verleugnung der Signatur y:

1. Wähle Zufallszahlen

2. Berechne

3. Berechne

4. Akzeptiere Signatur genau dann, wenn

Chaum-van Antwerpen SignaturschemaChaum-van Antwerpen Signaturschema

p,q =Primzahlen | p 2q+1

pa *,1 a q 1 Z

p *Z

K (p, ,a, )

a mod p

aKy sig (x) x mod p,

x Nachricht G

pG *| Ordnung qZ1 2 qe ,e *Z

e1 e2c y mod p 1a modqd c mod p

e1 e2d x mod p 5. Wähle Zufallszahlen

6. Berechne

7. Berechne

8. Akzeptiere Signatur genau dann, wenn

9. Signatur wurde gefälscht, wenn

1 2 qf , f *Z1 2f fC y mod p

1a modqD C mod p

1 2f fD x mod p

2 1 2 1e f f e(d ) (D ) mod p

Page 16: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 16

e1 e2

45 237

d x mod p

109 286 4 mod 467 149

1. Bob wählt :

2. Bob berechnet:

3. Alice berechnet

4. Bob akzeptiert nicht, da die Verfifikation fehl schlägt

5.-8. zweiter Durchlauf

Chaum-van Antwerpen SignaturschemaChaum-van Antwerpen Signaturschema

1 2

125 9

f 125, f 9,C 270,D 68

286 4 mod 467 25 25 68

1 1a modq 101 modqd c mod p 305 mod p 109

p 467, 4,a 101, 449

Nachricht x=286, falsche Signatur y=83

1 2e 45,e 237 1 2e e 45 237c y mod p 83 *449 mod 467 305

2 1 2 1e f f e

237 125

9 45

(d ) (D ) mod p

(109*4 ) 188mod 467

(68*4 ) 188mod 467

Page 17: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 17

Fail-Stop SignaturenFail-Stop Signaturen

1990 von Pfitzmann und Waidner vorgestellt Dechiffrierung ist vieldeutig, Chiffrierung

eindeutigZu jedem öffentlichen Schlüssel existieren viele

private Schlüssel Wurde ein Schlüssel geknackt (fail) kann

dies bewiesen werden und alle Unterschriften wiederrufen werden (stop)

Page 18: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 18

Pedersen und van Heyst SignaturschemaPedersen und van Heyst Signaturschema

p,q =Primzahlen | p 2q+1

0 p 0a *,1 a q 1 Z

p *Z

1 2 1 2 1 2

1 2 1 2 q

K ( , ,a ,a , b ,b )

a ,a , b ,b

Z

0a mod p K 1 2

1 1 1

2 2 2

sig (x) (y , y ), x Nachricht

y a xb mod q,

y a xb mod q

Öffentlicher Schlüssel:

Privater Schlüssel:

1 2, 1 2 1 2a ,a , b ,b

Signieren einer Nachricht x

Verifizieren einer Nachricht x

1 2

K 1 2

x y y1 2

ver (x, (y , y )) true

mod p

Page 19: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 19

Besonderheiten der fail-stop SignaturenZwei Schlüssel

undsind genau dann gleich wenn und gilt.

Es gibt mindestens einen Schlüssel K', der eine mit K erstellte Signatur verifizieren kann

Pedersen und van Heyst SignaturschemaPedersen und van Heyst Signaturschema

K K'ver (x, y) true ver (x, y) true

1 2 1 2 1 2( , , a ,a , b ,b )

1 2 1 2 1 2( ' , ' , a ' , a ' , b ' , b ' )

1 1' 2 2'

Page 20: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 20

Man kann beweisen, dass es exakt q Schlüssel K' gibt, die äquivalent zu K sindund zu gegebenem x die gleiche Signatur erzeugen.

Aber: es gibt maximal einen Schlüssel K', der aus beliebigem x'‚ die gleiche Signatur erzeugt, die K aus x erzeugte.

Folge: Für jede Nachricht x gibt es q Schlüssel, die die Signatur

erzeugt haben können Für eine Nachricht erzeugen die q Schlüssel q

verschiedene Signaturen

Pedersen und van Heyst SignaturschemaPedersen und van Heyst Signaturschema

K K 'y sig (x) sig (x)

x ' x

Page 21: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 21

Werte aus Vetrauenswürdiger Stelle

Schlüssel

Pedersen und van Heyst SignaturschemaPedersen und van Heyst Signaturschema

0

0

a 1567

q 1733

p 3467 2*1733 1

4,a 1567

mod p 4 mod3467 514

1 2

1 2

1 2 1 2

a a888 10241

b b786 9992

1 2 1 2 1 2

a 888,a 1024,b 786,b 999

4 *514 mod3467 3405 * mod p

4 *514 mod3467 2281 * mod p

K ( , ,a ,a , b ,b )

Page 22: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 22

FazitFazit

Signatursysteme sind beweisbar sicher, wenn ihre Umkehrung nachweisbar auf einer mathematischen Annahme beruht, die selbst schwer berechenbar ist.Zerlegung großer Zahlen in PrimzahlfaktorenBestimmen von Logarithmen in einem

RestklasenringBestimmung der q-ten Wurzel in

Es gibt keine informationstheoretische Sicherheit

n *Z

Page 23: Proseminar Kryptographie – Kolja Engelmann 1 15.01.2014 Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann, 708383.

Proseminar Kryptographie – Kolja Engelmann

11.04.23 23

QuellenQuellen

Douglas R. Stinson, Cryptography: Theory and Practice. 2nd Edition, Chapman & Hall/CRC 2002

Dirk Fox, Sichere Signatursysteme, Tagungsband 5. Deutscher Sicherheitskongreß des BSI, SecuMedia Verlag 1997, S. 61-76

Univ.-Prof. Dr.rer.nat Christoph Ruland, Kryptographische Verfahren und Anwendungen,Universität Siegen 2004, S. 259-278

Reinhard Wobst, Abenteuer Kryptologie, Addison Wesly 2001, 3. Überarbeitete Auflage