Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

92 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 91 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Zufallszahl l Sicherheitsparameter Für fm (x) mit x fest und Eingabe m, schreiben wir kurz h(m) und nennen h eine kollisionsresistente Hashfunktion (konstruiert aus einer kollisionsresistenten Permutationenfamilie). Schlüsselgenerierung: Effizientere, aber nicht beweisbar sichere kollisionsresistente Hashfunktionen können beispielsweise aus Blockchiffren konstruiert werden, vgl. §3.8.3. p, q Primzahlen n := p•q c mit ggT(c, (p-1)(q-1)) = 1 d ≡ c -1 mod (p-1)(q-1) c, n 3.6.4.1 RSA als asymmetrisches Konzelationssystem Chiffrierschlüssel, öffentlich bekannt d, n RSA wird zu einem indeterministisch verschlüsselnden Konzelationssystem, indem mit jedem Klartextblock m eine neue Zufallszahl z (sie hat nichts zu tun mit der Zufallszahl für die Schlüsselgenerierung, deshalb als Zufallszahl' in Bild 3-31 bezeichnet) verschlüsselt wird. Dechiffrierschlüssel, geheimgehalten Klartextblock Entschlüsselung: Schlüsseltextblock c Verschlüsselung: Klartextblock m c d (z,m, h(z,m)) ( • ) mod n =: mod n mod n z,m, y; h(z,m) = y ? (z,m, h(z,m)) m = 2. Komponente von ((z,m, h(z,m)) c d ) mod n nach Redundanzprüfung mittels h z Zufallszahl' Geheimer Bereich Aktive Angriffe werden verhindert, indem vor der Verschlüsselung jedem Klartextblock Redundanz zugefügt wird, die vom Entschlüsseler nach der Entschlüsselung geprüft wird. Dies Zufügen von Redundanz muß natürlich so geschehen, daß das modulare Multiplizieren zweier Klartextblöcke mit Redundanz keinen dritten Klartextblock mit passender Redundanz ergibt. Die Redundanz kann beispielsweise erzeugt werden, indem auf den Klartextblock eine kollisionsresistente Hashfunktion angewandt und das Ergebnis an den Klartextblock gehängt wird. Natürlich muß die Hashfunktion dann so gewählt werden, daß sie, falls überhaupt, eine andere multiplikative Struktur hat als das RSA, dessen multiplikative Struktur sie gerade neutralisieren soll. Dies kann beispielsweise geschehen, indem bei Wahl der Permutationen aus §3.5.3 ein vom RSA-Modulus unabhängig gewählter Modulus verwendet wird. Bild 3-31: Sicherer Einsatz von RSA als asymmetrisches Konzelationssystem: Redundanzprüfung mittels kollisionsresistenter Hashfunktion h sowie indeterministische Verschlüsselung Bild 3-31 veranschaulicht das Gesamtsystem, wenn indeterministische Verschlüsselung und Redundanz mittels kollisionsresistenter Hashfunktion kombiniert werden. Kompliziertere und dafür in einem gewissen Sinn beweisbar sichere Konstruktionen zur Kombination von Redundanz mit indeterministischer Verschlüsselung sind in [BeRo_95] beschrieben. Diese Konstruktionen gelten nicht nur für RSA, sondern für jedes asymmetrische Kryptosystem, das eine Permutation (sprich: längentreue Blockchiffre, vgl. §3.8.2 und §3.8.2.7) ist. Verschlüsselung eines Klartextblocks erfolgt durch Voranstellen einer Zufallszahl, Anwenden einer kollisionsresistenten Hashfunktion h auf Zufallszahl und Klartextblock, deren Ergebnis dahinter gehängt wird, sowie modulare Exponentiation mit c aller drei Komponenten gemeinsam. Dies ergibt für Klartextblock m und Zufallszahl z: (z,m, h(z,m)) c mod n. 3.6.4.2 RSA als digitales Signatursystem Entschlüsselung erfolgt durch modulare Exponentiation mit d. Sie ergibt drei Komponenten. Danach wird geprüft, ob die Hashfunktion h, angewandt auf die ersten beiden Komponenten, die dritte Komponente ergibt. Nur dann wird die zweite Komponente ausgegeben. Dies ergibt für Schlüsseltextblock (z,m, y) c mod n : ((z,m, y) c ) d mod n =: z,m, y. h(z,m) = y ? Gegebenenfalls Ausgabe: m. Um das Rückwärtsrechnen zu vereiteln und auch die multiplikative Struktur von RSA zu neutralisieren, wird auf den Textblock vor der modularen Exponentiation eine kollisionsresistente Hashfunktion angewandt. Wenn die Hashfunktion Argumente beliebiger Länge als Argument akzeptiert, hat dies zusätzlich den Vorteil, daß dann auch Texte beliebiger Länge in einem Stück signiert werden können. Das Blockungsproblem ist dann für das digitale Signatursystem gelöst. Ist die Hashfunktion zusätzlich schneller zu berechnen als RSA, bringt ihre Anwendung bei längeren Nachrichten auch einen Geschwindigkeitsvorteil des Gesamtsystems gegenüber der in §3.6.2.2 beschriebenen Anwendung von RSA. Signieren erfolgt durch Anwenden der Hashfunktion und modulare Exponentiation des Hashwertes mit s. Dies ergibt für Textblock m: (h(m)) s mod n. Testen erfolgt durch modulare Exponentiation der Signatur mit t und anschließendem Vergleich des Ergebnisses mit dem Hashwert des zugehörigen Textblocks. Dies ergibt für Textblock m mit Signatur (h(m)) s : ((h(m)) s ) t mod n =: y, h(m) = y ? Bild 3-32 veranschaulicht das Gesamtsystem.
94 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 93 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Da m3 < n1•n2•n3 gilt, ist m3 mod n1•n2•n3 = m3 . Der Angreifer kann aus m3 mod n1•n2•n3 also in ZZ normal die dritte Wurzel ziehen und erhält so m. Der Angriff ist leicht auf zweierlei Weise zu verallgemeinern: Da keine Suche durch den Klartextraum erfolgt und es sich um einen passiven Angriff handelt, vereitelt die in §3.6.4.1 beschriebene Anwendung von RSA (indeterministische Verschlüsselung sowie Redundanzbildung und -Prüfung) diesen Angriff nicht, wenn zur indeterministischen Verschlüsselung der 3 Nachrichten jeweils die gleiche Zufallszahl verwendet wird. Ist der öffentliche Exponent c, so genügen c Verschlüsselungen derselben Nachricht für den entsprechenden Angriff. Allerdings muß der Angreifer dann auch mit c mal so langen Zahlen rechnen. Zufallszahl ll Sicherheitsparameter Schlüsselgenerierung: p, q Primzahlen n := p•q t mit ggT(t, (p-1)(q-1)) = 1 s ≡ t -1mod ( p-1)(q-1) t, n Schlüssel zum Testen der Signatur, öffentlich bekannt Als guter Kompromiß zwischen der Vereitelung dieses Angriffs und dem nötigen Rechenaufwand wird an vielen Stellen der Wert 216 +1 für den öffentlichen Exponenten vorgeschlagen [DaPr_89 Seite 235]. Es spricht nichts dagegen, daß alle Teilnehmer dies als ihre(n) öffentliche(n) Exponenten wählen. Dann brauchen öffentliche Exponenten nicht mehr mitgeteilt zu werden. Ein öffentlicher RSA- Schlüssel besteht dann nur noch aus dem Modulus. Schlüssel zum Signieren, geheimgehalten s, n Textblock m Verschlüsselung: Textblock mit Signatur s Textblock mit Signatur und Testergebnis s s (h(•)) mod n m, (h(m)) mod n Entschlüsselung: h(1. Komp.) ≡ (2. Komp.) t mod n ? 3.6.5.2 Inhaber des geheimen Schlüssels rechnet modulo Faktoren m, (h(m)) mod n, „ok“ oder „falsch“ Für Situationen, in denen es mehr auf die Effizienz des Inhabers des geheimen Schlüssels ankommt, ist man versucht, statt des öffentlichen den geheimen Exponenten „kurz“ zu wählen (vgl. §3.6.5.1). Dies ist möglich, da sich öffentlicher und geheimer Exponent in den Formeln aus §3.6.1 vollkommen symmetrisch verhalten. Selbst wenn man hierbei nicht den plumpen Fehler begeht, den geheimen Exponenten als 3, 216 +1 oder sonst eine kleine Zahl zu wählen, die man durch Durchprobieren finden kann, entsteht für geheime Exponenten, die kürzer als ein Viertel der Moduluslänge sind, in aller Regel ein unsicheres System [Wien_90]. Vorsicht also vor dieser Art der Effizienzverbesserung! Geheimer Bereich Bild 3-32: Sicherer Einsatz von RSA als digitales Signatursystem mit kollisionsresistenter Hashfunktion h 3.6.5 Effiziente Implementierung von RSA Ohne die Wahl der Schlüssel im geringsten zu ändern – und folglich auch ohne jede Änderung der Sicherheit – kann der Inhaber des geheimen Schlüssels nahezu drei Viertel seines Rechenaufwands einsparen: Statt modulo n, rechnet er getrennt modulo der beiden Faktoren p und q. Danach berechnet er aus den beiden Ergebnissen den gesuchten Wert modulo n mittels des CRA. Im einzelnen geht dies folgendermaßen: Um c-te Wurzeln aus Schlüsseltextblöcken S effizient berechnen zu können, d.h. Sd ≡ w mod n, bestimmt der Inhaber des geheimen Schlüssels ein für allemal dp := c –1 mod p–1, so daß gilt: (Sdp) c ≡ S mod p und dq := c –1 mod q–1, so daß gilt: (Sdq ) c ≡ S mod q. Durch geschickte Implementierung kann der Aufwand für RSA erheblich gesenkt werden. Zuerst wird dies für die Anwender eines öffentlichen Schlüssels gezeigt, danach für den Inhaber eines geheimen Schlüssels. 3.6.5.1 Öffentlicher Exponent mit fast nur Nullen Um aus einem konkreten S eine c-te Wurzel zu ziehen, berechnet er: Sdp mod p, Sdq mod q und dann w := CRA(Sdp mod p, Sdq mod q). Dann gilt sowohl wc ≡ (Sdp ) c ≡ S mod p als auch wc ≡ (Sdq ) c ≡ S mod q. Da p und q teilerfremd sind, folgt: wc ≡ S mod n. Bis auf die Bedingung, daß der öffentliche Exponent teilerfremd zu (p–1)(q–1) sein muß, kann er frei gewählt werden, vgl. §3.6.1. Dies legt nahe, ihn – bis auf führende Nullen – möglichst kurz zu wählen, damit zur Exponentiation möglichst wenige modulare Multiplikations- und Quadrierungsschritte nötig sind. Enthält er auch nach der führenden Eins möglichst nur Nullen, spart man auch für diese Stellen jeweils noch eine modulare Multiplikation, vgl. „square-and-multiply“ in §3.4.1.1. p und q müssen dann natürlich so gewählt werden, daß p–1 und q–1 zum öffentlichen Exponenten teilerfremd sind. Um wie viel schneller ist dies nun? Im interessierenden Zahlbereich des Sicherheitsparameters l (der Länge von p und q) gilt: Der Aufwand einer modularen Exponentiation wächst kubisch, der einer modularen Multiplikation quadratisch und der einer modularen Addition linear mit der Länge des Modulus. Da |n| = 2•l, ist der Aufwand einer Exponentiation modulo n also proportional zu (2•l) 3 = 8•l3 . Der Aufwand von 2 Exponentiationen halber Länge (nämlich modulo p bzw. q) ist proportional zu 2•l3 . Der Aufwand des CRA besteht in 2 Multiplikationen und einer Addition modulo n, ist also proportional zu 2•(2•l) 2 + 2•l = 8•l2 + 2•l . Da (p–1)(q–1) gerade ist, ist die kleinstmögliche Wahl des öffentlichen Exponenten der Wert 3. Für RSA als digitales Signatursystem ist kein Argument bekannt, das gegen diese Wahl spricht. Für RSA als Konzelationssystem gibt es folgenden passiven Angriff von Johan Håstad, der RSA nachrichtenbezogen bricht [Hast_86, Hast_88]: Ein Teilnehmer sendet die gleiche Nachricht m an drei andere, deren öffentliche Exponenten jeweils 3 und deren Moduli n1 , n2 und n3 sind. Die Moduli sind paarweise teilerfremd, sonst könnte der Angreifer zumindest einen faktorisieren und so m erhalten. Der Angreifer beobachtet also: m3 mod n1, m3 mod n2 und m3 mod n3. Mittels des CRA kann er m3 mod n1•n2•n3 bestimmen.
Seite 1 und 2: A. Pfitzmann: Datensicherheit und K
Seite 3 und 4: VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6: X A. Pfitzmann: Datensicherheit und
Seite 7 und 8: 2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10: 6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12: 10 A. Pfitzmann: Datensicherheit un
Seite 51: 90 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 103 und 104:
194 A. Pfitzmann: Datensicherheit u
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?