Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

72 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 71 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr δ-Anteil) Zahlen n der Länge l höchstens einen 1/lt Vorteil für n beim Vorhersagen von Q(l)-bit- Folgen nach links. (In der Original-Publikation [BlBS_86] wird er x2-mod-N-Generator genannt. Da hier x als Variablenbezeichner für den Klartext benutzt wird und da in vielen anderen Papieren statt des großen N ein kleines n als Bezeichner für den aus zwei großen Primzahlen zusammengesetzten Modulus verwendet wird, führe ich der Konsistenz wegen diese neue Schreibweise ein.) Bew. (Skizze) Annahme: Es gibt einen Prädiktor P für den s2-mod-n-Generator mit ε-Vorteil auf Zahlen der Länge l. (Um den Beweis zu vervollständigen, müssen alle Quantoren über das ε wie bei c) gesetzt werden.) Def. des s 2 -mod-n-Generators: 1. Schritt: P kann effizient und uniform in ein Verfahren P* transformiert werden, das mit einem ε-Vorteil das letzte Bit von s0 zu gegebenem s1 aus QRn rät: Gegeben sei s1 . Bilde b1 b2 b3 ... mit dem s2-mod-n-Generator. Nun wende P auf diese Folge an. Dann rät P das Bit b0 mit ε-Vorteil. Genau dies ist das passende Ergebnis von P*. 2. Schritt: Sei nun das Verfahren P* gegeben. Daraus wird effizient und uniform ein Verfahren R konstruiert, das mit ε-Vorteil rät, ob ein gegebenes s* mit Jacobi-Symbol +1 ein Quadrat ist: Gegeben sei s*. Setze s1 := s* 2 . Wende P* auf s1 an. P* berechnet also das letzte Bit von s0 mit ε-Vorteil. Dabei sind s* und s0 Wurzeln von s1 , und zwar ist s0 genau die eine, die selbst ein Quadrat ist63 . Also gilt: s* ∈ QRn ⇔ s* = s0 . Anhand der letzten Bits, also des bekannten b* von s* und des geratenen b0 von s0 soll nun entschieden werden, ob s* = s0 ist. Klar ist: Wenn s* = s0, dann müssen auch ihre letzten Bits gleich sein. Gezeigt wird nun, daß umgekehrt aus s* ≠ s0 auch folgt, daß die letzten Bits verschieden sind: Wenn s* ≠ s0 , dann ist s* ≡ –s0 mod n (wegen den gleichen Jacobi- Symbolen), also s* = n – s0 in ZZ. n ist aber ungerade, also haben s* und s0 verschiedene letzte Bits. Also endet das Verfahren R so: Genau dann, wenn b* = b0 , wird geraten, daß s* ein Quadrat ist, und rät damit genausogut wie P*. Als Schlüssel wähle n = p • q mit |p| ≈ |q| und p, q Primzahlen ≡ 3 mod 4. (Betragsstriche bedeuten hier „Länge“ in Bits. p und q werden zufällig und unabhängig gewählt, wobei die in §3.4.1 genannten Bedingungen an p und q eingehalten werden müssen – sonst kann n faktorisiert werden.) Als Startwert wähle s zufällig in ZZ n * = {a ∈ ZZ | 0 < a < n, ggT(a, n) = 1}. Generierung der Folge: Berechne sukzessive die inneren Zustände s0 := s2 mod n, si+1 := s 2 i mod n , und bilde in jedem Schritt bi := si mod 2 (= letztes Bit von si ) Ausgabe: b0 b1 b2 ... (Als Merkhilfe für den Bezeichner si : innerer Zustand = Status = Stand des Generators) Beispiel: n = 3 • 11 = 33, s = 2 si : 4 16 25 31 4 . . . bi: 0 0 1 1 0 ... Sicherheitsbetrachtung 3. Schritt: Das so konstruierte Verfahren R steht im Widerspruch zur QRA. Die Sicherheit des s2-mod-n-Generators kann unter der Faktorisierungsannahme bewiesen werden [ACGS_84, ACGS_88]. Hier wird aber nur der etwas einfachere Beweis unter der Quadratische- Reste-Annahme (QRA) gezeigt (siehe §3.4.1.9). Anmerkung: Man kann zeigen, daß man auch mehr als ein Bit pro Quadrierungsschritt nehmen kann, nämlich O(log(l)). Beh. Unter QRA ist der s2-mod-n-Generator ein unvorhersagbarer (kryptographisch starker) PBG. 3.4.4 s 2 -mod-n-Generator als asymmetrisches Konzelationssystem Man kann den s2-mod-n-Generator auch als asymmetrisches Konzelationssystem verwenden (Bild 3- 19): Gemäß dem obigen Absatz über Forderungen an PBG genügt es, zu beweisen, daß es keinen Prädiktor gibt, der das linkeste Bit von Folgen, die der s2-mod-n-Generator erzeugt, gut aus den restlichen Bits voraussagen kann. Genauer heißt das: • Der geheime Schlüssel besteht aus den Faktoren p und q von n. a) Ein Prädiktor P[•, •] ist ein probabilistischer, polynomial zeitbeschränkter Algorithmus, der bei Eingabe von n, b1 ... bk (bi ∈ {0, 1}) den Wert 0 oder 1 ausgibt. • Der öffentliche Schlüssel ist n. b) Man sagt, P habe für ein gewisses n einen ε-Vorteil beim Vorhersagen nach links von k-Bit- Folgen des s2-mod-n-Generators gdw. • Ein Sender und ein Empfänger haben keinen geheimen Startwert s mehr miteinander ausgetauscht, sondern zu jeder Nachricht wählt sich der Sender einen neuen, zufälligen Startwert s. (Dadurch wird die Verschlüsselung indeterministisch, d.h. gleiche Klartexte werden nicht notwendigerweise als gleiche Schlüsseltexte verschlüsselt, vgl. §3.1.1.1 Anmerkung 2.) Damit der Empfänger trotzdem entschlüsseln kann, soll ausgenutzt werden, daß er mittels p und q Wurzeln modulo n ziehen kann. W(P[n,b 1 (s) ... bk (s)] = b0 (s)) s∈QRn > φ(n) / 4 1 2 + ε mit bi (s) = letztes Bit von s2i mod n. (Beachte, daß φ(n)/4 die Stichprobengröße ist, da s beim Vorhersagen nach links ein quadratischer Rest sein muß – sonst kann man nicht Wurzelziehen. Im Gegensatz dazu darf bei der Generierung der Folge nach rechts s beliebig aus ZZ * n sein.) ∑ 63 Dies wurde schon in Aufgabe 3-9 k) gezeigt: Daß nur eine der 4 Wurzeln selbst ein Quadrat ist, folgt, weil p ≡ q ≡ 3 mod 4. Wie in §3.4.1.6 gezeigt, ist dann von den zwei Wurzeln ±wp aus s1 mod p nur eine ein Quadrat, und genauso für ±wq . Gemäß §3.4.1.7 sind die 4 Wurzeln von s1 Kombinationen aus ±wp und ±wq . Zuletzt ist (auch nach §3.4.1.7) eine Kombination genau dann ein Quadrat, wenn beide Teile es sind. c) Der s2-mod-n-Generator ist sicher gdw. für jeden Prädiktor P, jede Konstante 0 < δ < 1, jedes Polynom Q und jede natürliche Zahl t gilt: Sofern l genügend groß ist, hat P für alle (außer einem
74 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 73 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr echte Zufallszahl Sicherheitsparameter ll Schlüsselgenerierung: p, q ≡ 3 mod 4; n := p•q n öffentlicher Schlüssel = Modulus • Damit der Empfänger auch etwas hat, woraus er Wurzeln ziehen kann, schicken ihm die Sender außer dem bisherigen Schlüsseltext x0 ⊕ b0 , x1 ⊕ b1 , …, xk ⊕ bk auch den Wert sk+1 zu, also den Wert, dessen letztes Bit bk+1 geworden wäre, wenn man das noch gebraucht hätte. geheimer Schlüssel = Faktoren p, q Klartext 1 x, { } 0 1 = x x x ... { } 0 1 2 0 Entschlüsselung:Erzeuge s k+1 s k ... s 1 s 0, b b b ..., 0 1 2 addiere Klartext Schlüsseltext Verschlüsse- x lung: Erzeuge c(x) = x x x ... s 0 1 2 0 s 1 s 2 ..., = x 0 ⊕ b 0 , b 0 b 1 b 2 ..., x b , … addiere 1 ⊕ 1 s zufälliger Startwert x ⊕ k b k , 2 1, (s ) k+1 Geheimer Bereich vom Angreifer geändert • Der Empfänger entschlüsselt nun so: Er berechnet aus sk+1 rückwärts die ganze Folge der si, jeweils si–1 := die Wurzel aus si , die selbst ein Quadrat ist = CRA(s (p+1)/4 i mod p, si (q+1)/4 mod q). 64 Dann kann er die letzten Bits bi von si bestimmen und damit die Klartextbits xi zurückerhalten. echte Zufallszahl l Sicherheitsparameter Bild 3-20: Gewählter Schlüsseltext-Klartext-Angriff auf s2-mod-n-Generator als asymmetrisches Konzelationssystem Schlüsselgenerierung: p, q ≡ 3 mod 4; n := p•q n öffentlicher Schlüssel = Modulus Dieser einfache Angriff könnte bei einer praktischen Anwendung durch Vergleich erkannt und dann durch Nichtantwort des Opfers vereitelt werden. Er kann aber in zweierlei Weise variiert und dann nur viel schwerer erkannt werden: 1. Der Angreifer ersetzt x0 ⊕ b0 , x1 ⊕ b1 , …, xk ⊕ bk durch k+1 zufällige Bits. Aus der Antwort des Opfers kann er dann die Pseudozufallsbitfolge errechnen und damit den ursprünglichen Schlüsseltext entschlüsseln. 2. Der Angreifer quadriert nicht einmal, sondern j mal, berechnet also sk+1+j . Er fügt entsprechend auch j Bits ein, deren Wert bei der Antwort ihn nicht interessiert. Selbst wenn Antworten jeweils nur k+1-Bit-Nachrichten zulassen, muß der Angreifer nur auf die ersten 1+j Bits des Klartextes verzichten. geheimer Schlüssel = Faktoren p, q Klartext x Entschlüsselung:Erzeuge s k ... s 1 s 0, b b b ..., 0 1 2 addiere Klartext Schlüsseltext Verschlüsse- x lung: Erzeuge c(x) = x x x ... s 0 1 2 0 s 1 s 2 ..., = x 0 ⊕ b 0 , b 0 b 1 b 2 ..., x b , … addiere 1 ⊕ 1 s zufälliger Startwert x ⊕ k b k , sk+1 Geheimer Bereich Noch gefährlicher als diese beschriebenen nachrichtenbezogenen Angriffe ist, daß mittels eines aktiven Angriffs sogar ein vollständiges Brechen, d.h. das Faktorisieren des Modulus, möglich ist. Dies ist hier noch nicht zu sehen, in [GoMT_82 Algorithm 5] aber nachzulesen. Bild 3-19: s 2 -mod-n-Generator als asymmetrisches Konzelationssystem Sicher gegen passive Angriffe: Ähnlich wie oben kann man beweisen, daß das Verfahren gegen passive Angriffe sicher ist. (Man muß nur noch berücksichtigen, daß der Angreifer jeweils auch sk+1 sieht.) Unsicher gegen aktive Angriffe: Ziel des aktiven Angriffs ist es, einen vom Angreifer beobachteten Schlüsseltext x0 ⊕ b0 , x1 ⊕ b1 , …, xk ⊕ bk , sk+1 zu entschlüsseln. Hierzu erhält der Angreifer beliebige, hiervon verschiedene Schlüsseltexte entschlüsselt. Ein einfacher gewählter Schlüsseltext-Klartext-Angriff kann folgendermaßen geschehen (Bild 3- 20): Der Angreifer quadriert sk+1 und erhält so sk+2 . Er schickt dem Opfer x0 ⊕ b0 , x1 ⊕ b1 , …, xk ⊕ bk , 1, sk+2 , also den beobachteten Schlüsseltext bis auf den inneren Zustand sk+1 , danach ein eingefügtes Bit, hier 1, und danach den „nächsten“ inneren Zustand sk+2. Die ersten k+1 Bits, die der Angreifer als Antwort erhält, sind der ihn interessierende Klartext. 64 Hierfür benötigt man eigentlich noch die Bedingung p≠q. Sie kann bei der Schlüsselgenerierung aber weggelassen werden, da sie bei zufälliger und unabhängiger Wahl von p und q nur in einem exponentiell kleinen Anteil aller Fälle verletzt wäre.
Seite 1 und 2: A. Pfitzmann: Datensicherheit und K
Seite 3 und 4: VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6: X A. Pfitzmann: Datensicherheit und
Seite 7 und 8: 2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10: 6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12: 10 A. Pfitzmann: Datensicherheit un
Seite 41: 70 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 93 und 94:
174 A. Pfitzmann: Datensicherheit u
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?