Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

88 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 87 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Zufallszahl ll Sicherheitsparameter Zufallszahl l Sicherheitsparameter Schlüsselgenerierung: Schlüsselgenerierung: p, q Primzahlen n := p•q t mit ggT(t, (p-1)(q-1)) = 1 s ≡ t -1mod ( p-1)(q-1) t, n p, q Primzahlen n := p•q c mit ggT(c, (p-1)(q-1)) = 1 d ≡ c -1 mod (p-1)(q-1) c, n Schlüssel zum Testen der Signatur, öffentlich bekannt Chiffrierschlüssel, öffentlich bekannt Schlüssel zum Signieren, geheimgehalten s, n Dechiffrierschlüssel, geheimgehalten d, n Textblock Verschlüsselung: Textblock mit Signatur Textblock mit Signatur und Testergebnis m m, Entschlüsselung: 1. Komp. ≡ (2. Komp.) t mod n ? Klartextblock Entschlüsselung: Schlüsseltextblock c m mod n Verschlüsselung: Klartextblock m s mod n c ≡ (m ) mod n d m m s ( • ) mod n m, m s mod n, „ok“ oder „falsch“ d ( • ) mod n c ( • ) mod n Geheimer Bereich Geheimer Bereich Bild 3-30: Naiver und unsicherer Einsatz von RSA als digitales Signatursystem Bild 3-29: Naiver und unsicherer Einsatz von RSA als asymmetrisches Konzelationssystem 3.6.3 Angriffe, insbesondere multiplikative Angriffe von Davida und Moore Bsp. Schlüsselgenerierung: Sei p = 3, q = 17, also n = 51. Also ist φ(n) = (p-1) • (q-1) = 32. Sei c = 5; prüfe ob ggT(5, 32) = 1. (Euklidscher Algorithmus) Dies ist der Fall. Gesucht d = c –1 mod φ(n), also 5 –1 mod 32. Mit dem erweiterten Euklidschen Algorithmus ergibt sich d = 13. Leider ist der Einsatz von RSA, wie er in §3.6.2 beschrieben wurde, zwar leicht zu verstehen, aber weitgehend unsicher. Da RSA eine multiplikative Struktur besitzt (Genaueres wird gleich erklärt), kann sowohl das Konzelationssystem als auch das Signatursystem gebrochen werden, ohne daß der Angreifer irgendetwas über den geheimen Schlüssel herausbekommen müßte. Da der multiplikative Angriff für RSA als Signatursystem systematischer erklärt werden kann, wird damit begonnen. Verschlüsselung: Sei die Klartextnachricht m = 19. Dann ist der zugehörige Schlüsseltext S = 195 ≡ 192 • 192 • 19 ≡ 361 • 361 • 19 ≡ 4 • 4 • 19 ≡ 4 • 76 ≡ 4 • 25 ≡ 49 mod 51. Entschlüsselung: Sd = 4913 ≡ (–2) 13 ≡ 1024 • (–8) ≡ 4 • (–8) ≡ –32 ≡ 19 mod 51, was tatsächlich der Klartext ist. 3.6.3.1 RSA als digitales Signatursystem 3.6.2.2 RSA als digitales Signatursystem Jeder kann in dem in §3.6.2.2 beschriebenen digitalen Signatursystem Signaturen fälschen, indem er rückwärts rechnet: Er wählt sich eine Signatur, exponenziert sie modular mit t und erhält so den passenden Textblock. Dieser passive Angriff bricht RSA als digitales Signatursystem also existentiell, nicht aber selektiv. Denn der Angreifer kann nicht die Nachricht vorgeben, zu der er gerne die Signatur hätte, vgl. §3.1.3.1 und §3.1.3.2. Das Mindeste, was also zusätzlich zu dem in §3.6.2.2 Beschriebenen gefordert werden muß, ist, daß „sinnvolle“ Textblöcke sich bei diesem Angriff nur sehr, sehr selten ergeben. Die Bezeichner aus §3.6.1 werden folgendermaßen umbenannt: c → t, d → s. Dann gilt: Um aktive Angriffe, die ein selektives Brechen des in §3.6.2.2 beschriebenen digitalen Signatursystems erlauben, systematisch herzuleiten, wird zunächst ein einfacher passiver Angriff beschrieben. Er fälscht zwar Signaturen nicht besser als der gerade beschriebene, erläutert aber die multiplikative Struktur von RSA. Diese wird dann für die aktiven Angriffe benötigt. Signieren erfolgt durch modulare Exponentiation mit s. Dies ergibt für Textblock m: ms mod n. Testen erfolgt durch modulare Exponentiation der Signatur mit t und anschließendem Vergleich des Ergebnisses mit dem zugehörigen Textblock. Dies ergibt für Textblock m mit Signatur ms : (ms ) t mod n = m ? Bild 3-30 veranschaulicht das Gesamtsystem.
90 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 89 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr können sie alle auf den Einsatz als Konzelationssystem übertragen werden. Dies wird hier nur für den von Judy Moore verbesserten aktiven Angriff gezeigt. Nichtadaptiver aktiver Angriff zum selektiven Brechen von RSA als naiv eingesetztes asymmetrisches Konzelationssystem: Der Angreifer wählt den Schlüsseltextblock S3 frei nach seinen Wünschen (z.B. einen Schlüsseltextblock, den er beobachtet hat). Er wählt eine Zufallszahl r gleichverteilt in ZZ *. n (Zur Erinnerung: Dies bedeutet 1 ≤ r < n, und r besitzt mod n ein multiplikatives Inverses r –1 .) Er berechnet S2 := S3 • rc mod n. Er läßt S2 entschlüsseln. 77 Der Angreifer erhält S d 2 . Er weiß: S d 2 ≡ (S3 • rc ) d ≡ S d 3 • rc•d ≡ S3 d • r mod n. Er berechnet S d 3 := S2d • r –1 mod n. Die Idee dieses (nichtadaptiven) aktiven Angriffs besteht also darin, den Schlüsseltext S3 , den der Angreifer gerne entschlüsselt hätte, so mit einer „aufbereiteten“ Zufallszahl rc zu multiplizieren, daß der Angegriffene sie blind (d.h. ohne zu wissen, was sich dahinter verbirgt) entschlüsselt und der Angreifer den erhaltenen Klartext nur noch durch r dividieren muß. Kennt ein Angreifer zwei Signaturen m s 1 und m2s für die Textblöcke m1 und m2 , so kann er eine dritte Signatur m s 3 und den passenden Textblock m3 durch modulare Multiplikation gewinnen: m s 3 := m1 s • m2 s mod n, m3 := m1 • m2 mod n. m s 3 ist tatsächlich die Signatur zu m3 . Denn es gilt: m s 1 • m2s = (m1• m2 ) s . Mit anderen Worten: RSA besitzt eine multiplikative Struktur, oder genauer: RSA ist ein Homomorphismus bezüglich der Multiplikation. Wie oben bereits erwähnt, gelingt auch mit diesem passiven Angriff nur existentielles Brechen. Ist ein aktiver Angriff möglich, kann mittels dieser multiplikativen Struktur ein selektives Brechen erfolgen (Angriff von Davida [Merr_83, Denn_84, Bras_88]): Der Angreifer wählt den Textblock m3 frei nach seinen Wünschen. Er wählt ein beliebiges m1, zu dem mod n ein multiplikatives Inverses m –1 1 existiert. Er berechnet m2 := m3 • m –1 1 mod n. Er läßt m1 und m2 signieren. Er erhält m s 1 und m2 s . Er berechnet m s 3 := m1s • m2s mod n. 3.6.4 Vereitelung der Angriffe In diesem Abschnitt wird kurz beschrieben, wie alle bekannten Angriffe auf RSA als Konzelationssystem bzw. Signatursystem vereitelt werden können. Allerdings sei explizit auf die Einschränkung auf „alle bekannten Angriffe“ hingewiesen, darauf, daß nicht einmal hierfür Beweise existieren, und daß natürlich kein noch so geschickter Einsatz von RSA sicherer sein kann als RSA selbst, vgl. die einschränkende Bemerkung über die Sicherheit von RSA am Ende von §3.6.1. Sowohl beim Einsatz von RSA zur Konzelation, als auch von RSA zur Authentikation ist die Verwendung einer kollisionsresistenten Hashfunktion h nützlich. Solche Funktionen haben wir in §3.5.3 kennengelernt, nur daß sie dort etwas anders aufgefaßt wurden, nämlich als Permutationenfamilie. Zur Erinnerung: Beliebig langen Bitketten m wurden kollisionsresistente Permutationen fm zugeordnet. Faßt man diese Bitketten m als Eingabe einer Funktion auf, die die kollisionsresistente Permutation auf einen festen Wert x anwendet und den permutierten Wert y als Ausgabe, hat man eine kollisionsresistente Hashfunktion konstruiert. Etwas präziser hingeschrieben, lautet dies: fm (x) = y Dieser (nichtadaptive) aktive Angriff benötigt zwei Signaturen des Opfers, um eine selektiv zu fälschen. Der folgende, von Judy Moore verbesserte Angriff [Denn_84], benötigt nur noch eine Signatur des Angegriffenen, um eine selektiv zu fälschen. Der Angreifer wählt den Textblock m3 frei nach seinen Wünschen. Er wählt eine Zufallszahl r gleichverteilt in ZZ *. n (Zur Erinnerung: Dies bedeutet 1 ≤ r < n, und r besitzt mod n ein multiplikatives Inverses r –1 .) Er berechnet m2 := m3 • rt mod n. Er läßt m2 signieren. 76 Der Angreifer erhält m s 2 . Er weiß: m s 2 ≡ (m3 • rt ) s ≡ m s 3 • rt•s ≡ m3 s • r mod n. Er berechnet m s 3 := m2 s • r –1 mod n. Die Idee dieses (nichtadaptiven) aktiven Angriffs besteht also darin, die Nachricht m3 , die der Angreifer gerne signiert hätte, so mit einer „aufbereiteten“ Zufallszahl rt zu multiplizieren, daß der Angegriffene sie blind (d.h. ohne zu wissen, was sich dahinter verbirgt) signiert und der Angreifer die erhaltene Signatur nur noch durch r dividieren muß. Eine Nutzanwendung dieses Angriffs von Judy Moore wurde 1985 von David Chaum publiziert [Cha8_85]. Sie wird in §3.9.5 und §6.4.1 ausführlich behandelt. ist eine Permutation für m fest: Eingabe x, Ausgabe y und eine Hashfunktion für x fest: Eingabe m, Ausgabe y. 3.6.3.2 RSA als asymmetrisches Konzelationssystem Eine Kollision der Hashfunktion, d.h. fm(x) = fm*(x) mit m ≠ m*, ist auch eine Kollision der Permutationenfamilie, d.h. fm (x) = fm* (z) mit m ≠ m*, da x = z erlaubt ist. Das Umgekehrte gilt natürlich nicht, da im allgemeinen nicht x = z gelten wird. Die konstruierte Hashfunktion ist also mindestens so kollisionsresistent wie die zugrundegelegte Permutationenfamilie. Wird RSA wie in §3.6.2.1 beschrieben eingesetzt, wird nur ein deterministisches asymmetrisches Konzelationssystem realisiert. Ein Angreifer kann also wahrscheinliche Klartextblöcke raten, sie mit dem öffentlich bekannten Schlüssel deterministisch verschlüsseln und an den Schlüsselinhaber geschickte Schlüsseltexte mit den von ihm selbst generierten vergleichen. Sind welche gleich, so kann er sie „entschlüsseln“, vgl. Anmerkung 2 zu Bild 3-4. Da die in §3.6.3.1 beschriebenen multiplikativen Angriffe nur Eigenschaften von RSA ausnutzen, die in gleicher Weise beim naiven Einsatz als Signatursystem wie auch als Konzelationssystem bestehen, 77 Auch hier erfährt der Angegriffene dadurch nichts über S3 , da rc gleichverteilt in Z * n ist. Andernfalls benötigt der Angreifer die Hilfe des Angegriffenen überhaupt nicht: Für S3 = 0 ist für alle n nämlich S d 3 ebenfalls = 0. In allen anderen Fällen ergibt ggT(S3 ,n) einen nichttrivialen Faktor von n, konkret also p oder q. Damit hat der Angreifer RSA vollständig gebrochen, vgl. §3.1.3.1. 76 Ist m3 ∈ ZZ * n , so erfährt der Angegriffene dadurch nichts über m3 , da rt gleichverteilt in Z * n ist. Andernfalls benötigt der Angreifer die Hilfe des Angegriffenen überhaupt nicht: Für m3 = 0 ist für alle n nämlich m s 3 ebenfalls = 0. In allen anderen Fällen ergibt ggT(m3 ,n) einen nichttrivialen Faktor von n, konkret also p oder q. Damit hat der Angreifer RSA vollständig gebrochen, vgl. §3.1.3.1.
Seite 1 und 2: A. Pfitzmann: Datensicherheit und K
Seite 3 und 4: VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6: X A. Pfitzmann: Datensicherheit und
Seite 7 und 8: 2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10: 6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12: 10 A. Pfitzmann: Datensicherheit un
Seite 49: 86 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 101 und 102:
190 A. Pfitzmann: Datensicherheit u
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?