Full paper (pdf) - CDC

Weitere Magazine

Empfehlungen

Info

Sicherheit des Verfahrens Ein Angreifer, dem es gelingt, bis zu t − 1 Teilgeheimnisse si in Erkenntnis zu bringen, kann dadurch keine Rückschlüsse auf das Geheimnis s ziehen. Wenn t − 1 Stützstellen des geheimen Polynoms bekannt sind, exisitiert für jeden denkbaren Wert s ′ genau ein Polynom, welches alle Stützstellen und diesen Wert s ′ beinhaltet. Aufgrund der Konstruktion des Polynoms ist jedes dieser möglichen Polynome gleichwahrscheinlich. Das Shamir-Verfahren ist somit informationstheoretisch sicher im Shannon’schen Sinne. 2.3 Verifizierbares Secret-Sharing Eine Hauptmotivation für den Einsatz von Secret-Sharing ist die Möglichkeit, Angriffe auf die Vertraulichkeit und Verfügbarkeit des Geheimnisses abzuwehren. Durch das Shamir-Verfahren wird sichergestellt, daß das Geheimnis einem Angreifer nur in die Hände fallen kann, wenn er Kenntnis von einer Mindestmenge an Teilgeheimnissen erhält. Trotzdem kann ein Angreifer, der die Kontrolle über einige wenige Teilnehmer erhält, zumindest die Verfügbarkeit des Geheimnisses empfindlich stören, wenn er die Rekonstruktion sabotiert. Es ist nämlich bei der Kombination der Teilgeheimnisse nicht möglich zu erkennen, ob der Beitrag einzelner Teilnehmer korrekt war oder nicht. Das macht es schwierig, betrügerische Teilnehmer auszuschließen. Von einem robusten Secret-Sharing- Verfahren wird verlangt, daß es auch eine gewisse Menge an Teilnehmern verkraftet, die sich nicht an alle Einzelheiten des Protokolls halten. Eine wichtige Komponente robuster Secret-Sharing-Verfahren sind verifizierbare Teilgeheimnisse, die wir in diesem Abschnitt besprechen wollen. Das Shamir-Verfahren funktioniert, wenn sich alle Teilnehmer (inklusive des Gebers) an die vorgeschriebenen Protokollabläufe halten. Das Geheimnis ist dann gegenüber Außenstehenden (und gegenüber einer Minderheit an Teilnehmern) geschützt, kann aber bei Bedarf durch Kooperation rekonstruiert werden. Man sagt, die Teilnehmer seien neugierig, aber ehrlich (curious, but honest). Teilnehmer, die sich nicht an das Protokoll halten, können die Rekonstruktion aufhalten. Außerdem kann ein Teilnehmer sich nicht sicher sein, daß sein Anteil überhaupt korrekt gebildet wurde (Übertragungsfehler, Sabotage, betrügerischer Geber). Beide Mängel können mit einem Verfahren von Torben Pedersen [Ped92] behoben werden, das auf einem Commitment des Gebers beruht und die Verifikation der Teilgeheimnisse ermöglicht. Dieses Verfahren zeichnet sich gegenüber anderen vorgeschlagenen Verfahren dadurch aus, daß es ohne Interaktionen zwischen den Teilnehmern oder mit dem Geber auskommt und daß durch die zusätzlichen Verifikationsinformationen keinerlei Hinweise auf das Geheimnis gegeben werden. 2.3.1 Das Pedersen-Verfahren Das Verfahren benötigt eine weitere Primzahl q mit q = mp + 1 für ein beliebiges (möglicherweise kleines) m. Dadurch ergibt sich der Körper (Z/qZ), der über eine Untergruppe Gp der Ordnung p verfügt. Sei g ∈ Gp ein erzeugendes Element von Gp und h ∈ Gp ein weiteres Element aus Gp, für das der diskrete 11
Logarithmus log g h bezüglich des Erzeugers g nicht bekannt ist. Der Geber kann nun ein Commitment für zwei Werte s und s ′ aus (Z/pZ)eingehen, ohne damit Informationen über s oder s ′ preiszugeben: E(s, s ′ ) = g s h s′ (mod q) Das Commitment an den (öffentlich gemachten) Wert E(s, s ′ ) kann durch Offenlegung von s und s ′ überprüft werden. Es kann gezeigt werden, daß es unmöglich ist, das Commitment zu fälschen, ohne log g h zu kennen [Ped92]. Dieses Commitment-Verfahren wird nun mit dem Shamir-Verfahren kombiniert. Dabei verteilt der Geber neben dem eigentlichen Geheimnis s eine zweite Zahl s ′ und gibt ein Commitment für die beiden dabei benutzten Polynome ab. Das Commitment kann dann von jedem Teilnehmer anhand seines Anteils (si, s ′ i ) überprüft werden. Erzeugung der Teilgeheimnisse Um die geheime Zahl s ∈ (Z/pZ) zu verteilen, wählt der Geber zufällige Koeffizienten aj ∈R (Z/pZ), 1 ≤ j ≤ t − 1, wodurch sich das Polynom f(x) = s + a1x + . . . + at−1x t−1 (mod p) ergibt. Zusätzlich verteilt der Geber die zufällige Zahl s ′ ∈ (Z/pZ) auf analoge Weise durch ein (vollständig zufälliges) Polynom f ′ (x) = s ′ + a ′ 1x + . . . + a ′ t−1x t−1 (mod p). Jeder Teilnehmer i ∈ {1 . . . n} erhält die Funktionswerte si = f(i) und s ′ i = f ′ (i) als seinen Anteil des Geheimnisses. Außerdem gibt der Geber ein Commitment an die beiden Polynome ab, indem er und veröffentlicht. E0 = E(s, s ′ ) = g s h s′ (mod q) Ej = E(aj, a ′ j) = g aj h a ′ j (mod q) für1 ≤ j ≤ t − 1 Verifikation eines Teilgeheimnisses Ein Teilgeheimnisses (si, s ′ i ) ist genau dann gültig, wenn die beiden Werte tatsächlich Stützstellen der vom Geber gewählten Polynome f(x) und f ′ (x) sind: und �t−1 si = f(i) = s + aji j j=1 s ′ i = f ′ (i) = s ′ t−1 + 12 � a ′ ji j . j=1
Seite 1 und 2: Konzepte für eine sichere Schlüss
Seite 3 und 4: Vorwort Die vorliegende Arbeit ist
Seite 5 und 6: C UML-Klassendiagramme 81 D Benutze
Seite 7 und 8: öffentlichen Schlüssel eindeutig
Seite 9 und 10: 2.1 Einfaches Secret-Sharing Eine s
Seite 11: � � t n -Secret-Sharing Die mei
Seite 15 und 16: • Ein Secret-Sharing-Verfahren he
Seite 17 und 18: Kapitel 3 Key-Sharing Die Sicherhei
Seite 19 und 20: (dies muß nicht unbedingt für die
Seite 21 und 22: Primzahlen, die aber nicht bekannt
Seite 23 und 24: Den Teilnehmern übermittelt er die
Seite 25 und 26: Auf diese Weise ergibt sich eine Za
Seite 27 und 28: Verfahrens (ein beweisbar sicheres
Seite 29 und 30: Schlüsselverwendung Es stellt sich
Seite 31 und 32: Schlüsselerzeugung Um ein ElGamal-
Seite 33 und 34: Die geheimen Teilexponenten ai für
Seite 35 und 36: SSL-Webserver [WMB99] und das COCA-
Seite 37 und 38: verwenden kann. Andererseits ergibt
Seite 39 und 40: mit Key-Recovery beauftragten Insti
Seite 41 und 42: SETUP Eine (reguäre) SETUP ist ein
Seite 43 und 44: heimgehalten werden, da die Chiffre
Seite 45 und 46: Kapitel 5 Implementierung Der Worte
Seite 47 und 48: KeyStore der KeyStore eignet sich z
Seite 49 und 50: entsprechende Schnittstelle für Di
Seite 51 und 52: ialisieren lassen und die Methode z
Seite 53 und 54: Abbildung 5.2: Key-Sharing-Basiskla
Seite 55 und 56: ShoupRSAPrivateKeyShare diese Klass
Seite 57 und 58: Provider dieser JCA-Provider meldet
Seite 59 und 60: Abbildung 5.4: Klassen aus dem Pake
Seite 61 und 62: Abbildung 5.6: Dialog zum Einlesen
Seite 63 und 64:
UndecryptableKeyException diese Aus
Seite 65 und 66:
ei der Fehlervermeidung, -suche und
Seite 67 und 68:
(SecretShare[] shares, String integ
Seite 69 und 70:
Keystore laden Der ShamirStore setz
Seite 71 und 72:
Keystore speichern Der KeySharer sp
Seite 73 und 74:
wird die Datei filename in shares D
Seite 75 und 76:
Dateien verschlüsseln Der KeyShare
Seite 77 und 78:
Kapitel 6 Ausblick Wir haben mit di
Seite 79 und 80:
X.509 ITU Empfehlung X.509, auch IS
Seite 81 und 82:
ElGamal a privater Exponent, wird z
Seite 88 und 89:
Anhang D Benutzerhandbuch Kommandoz
Seite 90 und 91:
Anhang E Benutzerhandbuch Programmi
Seite 92 und 93:
E.4 Der KeySharer-KeyStore Konfigur
Seite 94 und 95:
PKI, 77 Polynominterpolation, 10 Pr
Seite 96:
[FGPY97] Y. Frankel, P. Gemmell, P.
Alle anzeigen

Full paper (pdf) - CDC

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?