Digitale Signaturen - Tibor Jager

Empfehlungen

Info

Dabei ist ASN.1 ein ASN.1-code der die verwendete Hashfunktion H identifiziert. Die Signaturσ ∈ Z N wird dann berechnet alsσ ≡ M d mod N.Vfy(pk, m, σ). Der Verifikationsalgorithmus berechnet ebenfalls die gepaddete NachrichtM ′ := 0x00||0x01||0xFF|| . . . ||0xFF||0x00||ASN.1||H(m).Er gibt 1 aus, wenn M ′ ≡ σ e mod N gilt, und ansonsten 0.Bemerkung 109. Falls die Hashfunktion SHA-1 benutzt wird, so ist der Hashwert H(m) genau 20 Byteslang. Die Länge des ASN.1-Strings beträgt 15 Byte, sodass der String0x00||ASN.1||H(m)insgesamt 36 Bytes lang ist. Diese Parameter werden wir für die Beschreibung des Angriffs später annehmen.Der Angriff funktioniert jedoch auch für andere Hashfunktionen.6.3.2 Bleichenbacher’s Angriff auf RSA-<strong>Signaturen</strong> mit kleinem ExponentenAuf der Rump-Session der Crypto 2006 Konferenz hat Daniel Bleichenbacher einen Angriff auf RSA-PKCS#1 v1.5 <strong>Signaturen</strong> vorgestellt, der dann anwendbar ist wenn zwei Kriterien erfüllt sind [Fin06].1. Das Opfer verwendet einen RSA public key (N, e) mit e = 3.2. Der Verifikationsalgorithmus hat einen bestimmten Implementierungsfehler. Dieser Fehler ist jedochrecht „natürlich“, es ist nicht unwahrscheinlich, dass dieser Fehler in der Praxis gemachtwird. Insbesondere hat Bleichenbacher ein Beispiel für eine Anwendung gefunden, die angreifbarwar [Fin06].Bemerkung 110. Der in diesem Kapitel beschriebene Angriff ist nicht zu verwechseln mit dem (wesentlichberühmteren) Angriff von Bleichenbacher auf PKCS#1 v1.5 Verschlüsselung [Ble98].Der Implementierungsfehler. Vfy erhält als Eingabe pk = (N, e) mit e = 3, eine Nachricht m, unddie Signatur σ. In Bleichenbacher’s Angriffsszenario geht der Verifikationsalgorithmus Vfy wie folgtvor. Zunächst berechnet erM ′ := σ 3 mod N.Dann wird geprüft, ob M ′ die FormM ′ := 0x00||0x01||0xFF|| . . . ||0xFF||0x00||ASN.1||H(m)hat. Dazu geht der Algorithmus so vor:1. Vfy prüft, ob die ersten zwei Bytes von M ′ die Form 0x00||0x01 haben.2. Vfy prüft, ob alle folgenden Bytes die Form 0xFF haben, so lange bis ein 0x00-Byte kommt.3. Vfy ermittelt, welche Hashfunktion benutzt wurde, indem es den nun auf das 0x00-Byte folgendenString ASN.1 ausliest. Nehmen wir an, die im ASN.1-String spezifizierte Hashfunktion hateine Ausgabelänge von l H Bytes.88
4. Zum Schluss prüft Vfy, ob die auf den ASN.1-String folgenden l H Bytes identisch zum Hashwertder Nachricht ist. Falls ja, so wird die Signatur akzeptiert.Dieser Algorithmus, der recht natürlich ist, hat den folgenden Fehler. Es wird nicht geprüft, obnach dem Hashwert noch weitere Daten stehen. Bei einer Signatur die über einen korrekt gepaddetenHashwert gebildet wurde dürften dort keine weiteren Daten stehen. Der Algorithmus überprüft diesjedoch nicht. Eine Signatur wird also auch dann akzeptiert, wenn σ 3 mod N die Formσ 3 mod N = 0x00||0x01||0xFF|| . . . ||0xFF||0x00||ASN.1||H(m)||Anhanghat, wobei Anhang ein beliebiger Wert ist.Der Angriff. Die Tatsache, dass die Bits Anhang am Ende von σ 3 mod N ignoriert werden, gibt demAngreifer die Freiheit dort einen beliebigen Wert anzugeben. Die Idee von Bleichenbacher ist, den WertAnhang so zu wählen, dass˜M = 0x00||0x01||0xFF|| . . . ||0xFF||0x00||ASN.1||H(m)||Anhangeine dritte Wurzel in Z hat. Falls dies gelingt, so kann man einfach σ als die dritte Wurzel von ˜M in Zberechnen – ohne „Modulo-Reduktion“.Beispiel 111. Betrachten wir einen RSA-Modulus N der Länge 3072-Bit, und nehmen wir an dass dieHashfunktion SHA-1 benutzt wird. 7 Um eine beliebige Nachricht m zu signieren geht der Angreifer wiefolgt vor:1. Der Angreifer berechnetD := 0x00||ASN.1||H(m) und ν := 2 288 − D.Falls ν nicht durch 3 teilbar ist, so ändert der Angreifer die Nachricht m ein wenig ab, so langebis ν ein Vielfaches von 3 ist.2. Dann berechnet der Angreifer den Wertund gibt diesen Wert als Signatur für m aus.σ := 2 1019 − ν 3 · 234 ,Um zu zeigen, dass diese Signatur vom oben beschriebenen Verifikationsalgorithmus akzeptiertwird, müssen wir zeigen dass σ 3 ≡ ( 2 1019 − ν 3 · 234) 3 mod N die Form(2 1019 − ν 3 · 234) 3= 0x00||0x01||0xFF|| . . . ||0xFF||0x00||ASN.1||H(m)||Anhanghat, für einen beliebigen String Anhang.Durch Anwendung der Formel (A − B) 3 = A 3 − 3A 2 B + 3AB 2 − B 3 erhalten wir(2 1019 − ν 3 · 234) 3= 2 3057 − ν · 2 2072 + (ν 2 /3 · 2 1087 ) − (ν 3 /27 · 2 102 )= 2 3057 + (D − 2 288 ) · 2 2072 + (ν 2 /3 · 2 1087 ) − (ν 3 /27 · 2 102 )= 2 3057 − 2 288 · 2 2072 + D · 2 2072 + (ν 2 /3 · 2 1087 ) − (ν 3 /27 · 2 102 )= 2 3057 − 2 2360 + D · 2 2072 + (ν 2 /3 · 2 1087 ) − (ν 3 /27 · 2 102 )7 In diesem Falle gibt es ein besonders einfaches Beispiel aus [Fin06].89
Seite 1 und 2:
Digitale SignaturenTibor Jagertibor
Seite 3 und 4:
Inhaltsverzeichnis1 Einführung 31.
Seite 5 und 6:
Kapitel 1EinführungEin Sender möc
Seite 7 und 8:
Das stimmt nicht. Es trifft auf nah
Seite 11 und 12:
Challenger CAngreifer A(pk, sk) $
Seite 13 und 14:
Alle „≤“-Beziehungen einzeln
Seite 15 und 16:
Wir müssen also stets die Laufzeit
Seite 17 und 18:
Bemerkung 19. Die obige Transformat
Seite 19 und 20:
Challenger CAngreifer A(pk, sk) $
Seite 21 und 22:
f : {0, 1} ∗ → {0, 1} ∗Challe
Seite 23 und 24:
Die Correctness dieses Verfahrens i
Seite 27 und 28:
Definition 29. Sei N := P Q das Pro
Seite 29 und 30:
Fall 2: m ∗ − m ∈ [1, 2 n −
Seite 31 und 32:
Jeder erfolgreiche Angreifer ruft e
Seite 33 und 34:
2.5.1 q-mal SignaturenAus einem Ein
Seite 35 und 36:
h 0,1h 1,1h 1,2h 2,1 h 2,2 h 2,3 h
Seite 37 und 38:
eine Funktion, die als Eingabe eine
Seite 39 und 40: Kapitel 3Chamäleon-HashfunktionenA
Seite 41 und 42: Man beachte, dass A nicht die Trapd
Seite 43 und 44: Sign(sk, m, ch): Der Signaturalgori
Seite 45 und 46: Jeder erfolgreiche Angreifer ruft e
Seite 47 und 48: Sign(sk, m). Um eine Nachricht m
Seite 49 und 50: für eine vernachlässigbare Funkti
Seite 51 und 52: Kapitel 4RSA-basierte Signaturverfa
Seite 53 und 54: UUF-NMA-Sicherheit. Man kann durch
Seite 55 und 56: Random Oracle mit Liste LAngreifer
Seite 57 und 58: Angreifer, die niemals H(m ∗ ) be
Seite 59 und 60: Eine wichtige Klasse von praktische
Seite 61 und 62: Daher erhält B von A eine Lösung
Seite 63 und 64: sieht. Daher konnten wir den Wert s
Seite 65 und 66: GHR-Signaturen mit spezieller Funkt
Seite 67 und 68: Beweis von Theorem 77. B startet A,
Seite 69 und 70: 4.5 Offene ProblemeDas Hohenberger-
Seite 71 und 72: 2. Nicht-Degeneriertheit. Für Gene
Seite 73 und 74: Vfy(pk, m, σ). Der Verifikationsal
Seite 75 und 76: Das Problem. Sei U 1 , . . . , U n
Seite 77 und 78: 5.3.1 Programmierbare Hashfunktione
Seite 79 und 80: Bemerkung 96. In anderen Kontexten
Seite 81 und 82: Die so simulierten Signaturen sind
Seite 83 und 84: Unmöglichkeitsbeweis, dass es kein
Seite 85 und 86: der Fiat-Shamir Heuristik [FS87] au
Seite 87 und 88: 6.2.1 Das SignaturverfahrenSei im F
Seite 89: hoher Wahrscheinlichkeit) den gehei
Seite 93 und 94: Literaturverzeichnis[BB04][BF01]Dan
Seite 95 und 96: [Deb08][DHT12][DN10][DOP05][DSS09][
Seite 97 und 98: [KL07]Jonathan Katz and Yehuda Lind
Alle anzeigen

Digitale Signaturen - Tibor Jager

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?