Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

418
A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr
417
A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr
Merke aber: 1. Wenn jemand sowohl Konzelation als auch für möglicherweise andere
Nachrichten Authentikation will, sollte er zwei verschiedene Schlüsselpaare wählen. Möchte
jemand den Klartext zu einem konzelierten RSA-Block erfahren, so braucht er andernfalls nur
den Schlüsselpaarbesitzer dazu zu bringen, ihm diesen Block zu signieren. Wird vor dem
Signieren auf die Nachricht eine Einweg-Hashfunktion angewendet oder ist das umfassende
kryptographische Protokoll so gebaut, daß keine beliebigen Nachrichten signiert werden, so
braucht dieses Risiko nicht zum Tragen zu kommen. Wozu aber soll man es überhaupt
eingehen, um die Hälfte des nicht sehr großen Schlüsselgenerier- und Speicheraufwandes bei
RSA einzusparen?
2. Im Beispiel wurden weder Redundanz noch Hashfunktionen verwendet; das System
war also noch anfällig gegen Davida-Angriffe und sollte nicht so verwendet werden.
ihrer Richtung nachrechnen und nur vergleichen, ob sich die ihm bekannte Wurzel des
Baumes rε ergibt.
c) Zu zeigen ist: Wenn es einen Algorithmus gäbe, der effizient Kollisionen von Funktionen
fpräf(m) findet, gäbe es auch einen, der Kollisionen für Paare (f0, f1) findet.
Dazu wird gezeigt, wie man aus jeder Kollision von fpräf(m) direkt eine von (f0, f1)
berechnet. Sei die gegebene Kollision m; m*, S, S* mit m ≠ m* und fpräf(m) (S) =
fpräf(m*) (S*). Setze v := präf(m) und w := präf(m*).
Nennen wir die Bits von v = v0v1...vk bzw. w = w0w1...wk'. Seien vi und wi die ersten
Bits von links, in denen sich v und w unterscheiden. Da v und w präfixfreie Codierungen
unterschiedlicher Nachrichten m, m* sind, gilt i ≤ min{k,k'}, und natürlich gilt 0 ≤ i. Dann ist
c) Unabhängig von der Wahl des Schlüsselpaares jeweils als 0 und 1. Wir lernen, daß diese
Klartexte durch passende Codierung der Eingabe an RSA vermieden werden sollten.
Wenn Leerzeichen (das Zeichen, das mit weitem Abstand am häufigsten als lange Folge
vorkommt) nicht als 0...0 codiert werden, dürfte dies mit hinreichender Wahrscheinlichkeit
automatisch der Fall sein. Man kann es auch durch die sowieso benötigte Redundanz bzw.
Hashfunktion erreichen.
fv(S) = fv0 ˚ fv1 ˚ ... ˚ fvi ˚ ... ˚ fvk (S) =
fw0 ˚ fw1 ˚ ... ˚ fwi ˚ ... ˚ fwk' (S*) = fw(S*)
Da im Kasten in beiden Zeilen gleiche Permutationen stehen (für alle j mit 0 ≤ j < i gilt vj=wj),
folgt aus der Gleichheit der Bilder die Gleichheit der Urbilder. Also ist
fvi ˚ ... ˚ fvk (S) = fwi ˚ ... ˚ fwk' (S*).
d) Beispielsweise könnte man 100 Bits an festen Positionen in jedem RSA-Block zufällig
wählen.
Man braucht so viele zufällige Bits, daß ein Angreifer, der einen Schlüsseltext S sieht und
einen wahrscheinlichen Klartext m rät, wenigstens nicht durch vollständige Suche ausprobieren
kann, ob tatsächlich m in S steckt. Dazu würde er selbst m mit dem öffentlichen Schlüssel
c verschlüsseln, wobei er der Reihe nach die Möglichkeiten für die zufälligen Bits probiert.
Bei 8 Bits bräuchte er nur 256 Versuche.
Die Uhrzeit, selbst wenn sie mehr als 8 Bits enthält, ist nicht zufällig genug: Der Angreifer
braucht ja nur die in Frage kommenden Uhrzeiten durchzuprobieren.
Somit ist
f vi (f vi+1 ˚ ... ˚ f vk (S)) = f wi (f wi+1 ˚ ... ˚ f wk' (S*))
eine Kollision von f 0 und f 1 .
Die präfixfreie Codierung wird benötigt, damit sich v und w in einer Bitposition unterscheiden,
die bei beiden vorhanden ist (andernfalls gäbe es entweder vi oder wi nicht).
e) Wenn die zufällig gewählten Bits zur Ausgabe des asymmetrischen Konzelationssystems
gehören, ist die vorgeschlagene indeterministische Variante von RSA nicht sicher gegen aktive
Angriffe: Der aktive Angriff geht genauso wie bei deterministischem RSA.
Wenn die zufällig gewählten Bits nicht zur Ausgabe des asymmetrischen Konzelationssystems
gehören, ist die Antwort schwieriger. Wie in §5.4.6.8, ausführlicher in [PfPf_90]
begründet, lautet sie für obigen Vorschlag auch nein, zumindest wenn es die ersten oder
letzten hundert Bits sind.
3-16 RSA
a) Schlüsselgenerierung: Sei p = 3, q = 11, also n = 33.
Also ist φ(n) = (p-1) • (q-1) = 20.
Sei c = 3; prüfe ob ggT(3, 20) = 1. (Euklidscher Algorithmus) Dies ist der Fall.
Für den Entschlüsselungsexponenten muß man unterscheiden, ob man die Standardversion
oder mod p und q einzeln rechnen will:
Standardversion: Gesucht d = c –1 mod φ(n), also 3 –1 mod 20. Mit dem erweiterten
Euklidschen Algorithmus ergibt sich d = 7.
Effizientere Variante:
dp := c –1 mod p–1, also dp := 3 –1 ≡ 1 mod 2.
dq := c –1 mod q–1, also dq := 3 –1 mod 10. Mit erw. Eukl. Alg.: dq = 7.
Für eine praktische Anwendung von RSA sollte man also z.B. 100 zufällig gewählte Bits mit
einem Redundanzprädikat kombinieren. Das Nachrichtenformat könnte m* = (m, z, h(m,z))
sein (die Reihenfolge ist unerheblich), wobei m die eigentliche Nachricht ist, z die Zufallsbits
und h eine Einweg-Hashfunktion. Die Verschlüsselung ist m* c .
Hat h einen Bildbereich von 160 Bit (vgl. §3.8.3), müssen also von der Brutto-RSA-
Blocklänge 260 Bit abgezogen werden, um die Netto-RSA-Blocklänge zu erhalten. Bei einer
Moduluslänge von 1000 Bit bleiben 740 Bit, also 74% übrig.
Verschlüsselung: Sei die Klartextnachricht m = 31. Dann ist der zugehörige Schlüsseltext S =
313 ≡ (–2) 3 ≡ –8 ≡ 25 mod 33.
Entschlüsselung: Standardversion: Sd = 257 ≡ (–8) 7 ≡ 643 • (–8) ≡ (–2) 3 • (–8) ≡ 64 ≡ 31 mod
33, was tatsächlich der Klartext ist.
Effizientere Variante: Mod 3: S dp ≡ 11 d
= 1. Mod 11: S q ≡ 37 = 93 • 3 ≡ (–2) 3 • 3 ≡ 3•3 =
9. Mit dem CRA (wie üblich) ergibt sich wieder m = 31.
f) Zufallsbits können entweder in der zu signierenden Nachricht untergebracht werden oder im
mit RSA zu exponenzierenden Block (oder an beiden Stellen).
Werden Zufallsbits in der zu signierenden Nachricht untergebracht, dann werden sie mit
gehasht. Für die Sicherheit der digitalen Signatur wichtig ist, daß die Hashfunktion auch dann
noch kollisionsresistent ist, wenn die Zufallsbits beliebig gewählt werden können. Bei einer
b) Um uns das Leben bequem zu machen, können wir das Beispiel aus a) abwandeln: Die
Schlüsselgenerierung sei identisch (nur daß c jetzt Testschlüssel, d Signierschlüssel heißt).
Wenn die Klartextnachricht zufällig m = 25 ist, so ist die Signatur die 3-te Wurzel daraus,
was wie oben Sig = 31 ergibt, und beim Testen ergibt sich Sig3 = 313 = 25.