Andreas Hülsing, Johannes Braun

Präsentation zum Thema: "Andreas Hülsing, Johannes Braun"—  Präsentation transkript:

1 Andreas Hülsing, Johannes Braun
Langzeitsichere Signaturen durch den Einsatz hashbasierter Signaturverfahren Andreas Hülsing, Johannes Braun | TU Darmstadt | A. Huelsing | 1 30. März 2017 |

2 Langzeitsicherheit Realwelt:
Handschriftliche Signatur theoretisch unendlich gültig Digital: Sicherheit Kryptographischer Schlüssel „verblasst“ Verfahren können plötzlich unsicher werden Bspw. Testament, Grundbucheintrag, Medizinische Daten, | TU Darmstadt | A. Huelsing | 2 30. März 2017 |

3 Outline Hash-basierte Signaturen Langzeitsicherheit
| TU Darmstadt | A.Huelsing | 3

4 Hash-basierte Signaturen
| TU Darmstadt | A. Huelsing | 4

5 RSA – DSA – EC-DSA - … RSA, DH, SVP, MQ, …
Trapdoor one-way function Collision resistant hash function RSA, DH, SVP, MQ, … Digital signature scheme | TU Darmstadt | A. Huelsing | 5 30. März 2017 |

6 Merkles Signaturverfahren
PK h OTS h h h h h h h h h h h h h h OTS OTS OTS OTS OTS OTS OTS Secret Key | TU Darmstadt | A. Huelsing | 6 30. März 2017 |

7 State of the Art eXtended Merkle Signature Scheme (XMSS) / XMSS+
[PQ-Crypto, 2011] XMSS+ [SAC 2012] Minimale komplexitätstheoretische Annahmen Generische Konstruktion Effizient (vergleichbar mit RSA) Vorwärtssicher | TU Darmstadt | A. Huelsing | 7

8 Vorwärtssichere Digitale Signaturen
| TU Darmstadt | A. Huelsing | 8

9 Vorwärtssichere Digitale Signaturen
pk classical sk pk forward sec sk sk1 sk2 ski skT time t1 t2 ti tT Key gen. | TU Darmstadt | A. Huelsing | 9

10 XMSS Implementierungen
C Implementierung mit OpenSSL Sign (ms) Verify (ms) Signature (byte) Public Key (byte) Secret Key (byte) Bit Security XMSS-SHA-2 15,17 1,02 2.083 1.696 3.364 146 H = 20, w = 64 33,47 2,34 1.923 100 w = 108 XMSS-AES-NI 1,72 0,11 2.451 912 1.684 93 w = 4 XMSS-AES 2,87 0,22 RSA 2048 3,08 0,09 ≈ 256 ≈ 512 87 Die Implementierungen sind halt bis auf die C Implementierung noch GMSS Intel(R) Core(TM) i5 CPU 2.53GHz with Intel AES-NI | TU Darmstadt | A. Huelsing | 10 30. März 2017 |

11 XMSS Implementierungen
Smartcard Implementierung Sign (ms) Verify (ms) Keygen (ms) Signature (byte) Public Key (byte) Secret Key (byte) Bit Sec. Comment XMSS 134 23 2.388 800 2.448 97 h = 16, w = 4, k = 4 XMSS+ 106 25 5.600 3.476 544 3.760 96 H = 16, w = 4, k = 2 173 28 10.500 1.588 3.056 92 w = 32, k = 2 124 22 28.300 1.956 576 3.744 89 H = 20, w = 16, k = 4 RSA 2048 190 7 11.000 ≈ 256 ≈ 512 87 Die Implementierungen sind halt bis auf die C Implementierung noch GMSS 15min Infineon SLE78 8KB RAM, TRNG, Sym. co-processor | TU Darmstadt | A. Huelsing | 11 30. März 2017 |

12 Langzeitsicherheit | TU Darmstadt | A. Huelsing | 12

13 XMSS Langzeitmechanismen
„Frühwarnsystem“ Redundanz Effizientere Archivierung (siehe Robuste PKI) FREE Bilder von ePerso, eGK und Co | TU Darmstadt | A. Huelsing | 13 30. März 2017 |

14 Frühwarnsystem | TU Darmstadt | A. Huelsing | 14

15 Eigenschaften von (Hash)Funktionsfamilien
stark / leichter Kollisionsresistenz Annahme / Angriffe 2nd-preimage-resistenz Einweg Pseudozufällig schwach / schwerer | TU Darmstadt | A. Huelsing | 15

16 Angriffe auf Hashfunktionen
MD5 Kollisionen (theo.) MD5 Kollisionen (praktisch!) MD5 & SHA-1 Keine (Second-) Preimage Attacks! SHA-1 Kollisionen (theo.) 2^123 anstatt 2^128 ist Stand der Dinge für MD5 2004 2005 2008 2012 | TU Darmstadt | A.Huelsing | 16 30. März 2017 |

17 Frühwarnsystem XMSS benötigt keine Kollisionsresistenz
Wenn Kollisionsresistenz gebrochen – wechsel Hashfunktion Archiv: Übersignatur Nur halbe Wahrheit: Nachrichtenhash! Aber: Kein Problem für Archiv | TU Darmstadt | A.Huelsing | 17

18 Redundanz | TU Darmstadt | A.Huelsing | 18

19 Redundanz Hash-Combiner - Kollisionsresistenz / 2nd-Preimage-Resistenz: - PRF: | TU Darmstadt | A. Huelsing | 19

20 Redundanz (cont‘d) Verhindert unerwarteten Bruch des Verfahrens
ersetzt Doppelsignatur Signaturgröße wächst nur minimal, i.e. +H*n Laufzeit ~ verdoppelt | TU Darmstadt | A.Huelsing | 20

21 Effiziente Archivierung
| TU Darmstadt | A.Huelsing | 21

22 Kettenmodell mittels FSS
Root certificate sk1 sk2 ski skT CA certificate sk1 sk2 End entity certificate Without explicite calndar dates Index unforgeable included into signature  mathematical validation results into chain model (revocation checking based on index) Proposed solutions how calendar dates can be integrated (time tags) sk1 sk2 skj time | TU Darmstadt | A.Huelsing | 22 30. März 2017 |

23 Robuste PKI Kettenmodell mit FSS -> Weniger Zeitstempel
-> Effizientere Archivierung | TU Darmstadt | A. Huelsing | 23

24 Danke! Fragen? | TU Darmstadt | A.Huelsing | 24

25 02.12.2011 | TU Darmstadt | A.Huelsing | 25

26 Ausgabelänge von Hashfunktionen
Hashfunktionsfamilie Annahme: - generische Angriffe, - Sicherheitslevel n Collision resistance: → Generischer Angriff = Geburtstagsangriff → m = 2n 2nd-preimage resistance: → Generischer Angriff = Vollständige Suche → m = n | TU Darmstadt | A. Huelsing | 26

27 Konstruktion | TU Darmstadt | A. Huelsing | 27

28 WOTS+ Winternitz parameter w, security parameter n, message length m, function family Key Generation: Compute l , sample k, sample R c0k(sk1, R ) = sk1 pk1 = cw-1k(sk1, R ) c1k(sk1, R ) One promissing group of candidates are hash-based signature schemes They start from an OTS – a signature scheme where a key pair can only be used for one signature. The central idea – proposed by Merkle - is to authenticate many OTS keypairs using a binary hash tree These schemes have many advantages over the beforementioned Quantum computers do not harm their security – the best known quantum attack is Grovers algorithm – allowing exhaustiv search in a set with n elements in time squareroot of n using log n space. They are provably secure in the standard model And they can be instantiated using any secure hash function. On the downside, they produce long signatures. c1k(skl , R ) pkl = cw-1k(skl , R ) c0k(skl , R ) = skl | TU Darmstadt | Andreas Hülsing | 28 30. März 2017 |

29 WOTS+ Signature generation
M b1 b2 b3 b4 … … … … … … … bl 1 bl 1+1 bl 1+2 … … bl c0k(sk1, R ) = sk1 pk1 = cw-1k(sk1, R ) C σ1=cb1k(sk1, R ) Well, this work is concerned with the OTS. There are several OTS schemes. LD, Merkle-OTS which is a specific instance of the W-OTS, the BM-OTS and Biba and HORS. The most interesting one is the Winternitz OTS as it allows for a time-memory trade-off and even more important - It is possible to compute the public verification key given a signature. This reduces the signature size of a hash based signature scheme as normaly the public key of the OTS has to be included in a signature of the scheme. Now for WOTS this isn‘t necessary anymore. pkl = cw-1k(skl , R ) c0k(skl , R ) = skl σl =cbl k(skl , R ) | TU Darmstadt | Andreas Hülsing | 29 30. März 2017 |

30 XMSS – Secret key XMSS verwendet mehrere Einmalsignaturschlüssel. Generiert mittels Pseudozufallsgenerators (PRG), konstruiert mittels PRFF Fn: Secret key: Zufälliger SEED für pseudozufällige Erzeugung des aktuellen Signaturschlüssels. PRG PRG PRG PRG PRG PRG | TU Darmstadt | A. Huelsing | 30

31 XMSS – Public key = ( , b0, b1, b2, h)
Modifizierter Merkle Tree [Dahmen et al 2008] h: 2nd-preimage resistant Hashfunktion = ( , b0, b1, b2, h) Public key bh b1 b1 Wir benutzen einen PRG basierend auf PRFs… also ein bisschen geschummelt b_i sind die Bitmasken H_Tree ist H in Treehash Mode, also mit genau so einem Baum… b0 b0 b0 b0 | TU Darmstadt | A. Huelsing | 31 30. März 2017 |

32 XMSS Signatur i Signatur = (i, , , , ) i b2 b1 b1 b0 b0 b0 b0
| TU Darmstadt | A. Huelsing | 32 30. März 2017 |

33 Vorwärtssicheres XMSS
PRG FSPRG FSPRG FSPRG FSPRG FSPRG FSPRG: Vorwärtssicherer PRG basierend auf PRFF Fn | TU Darmstadt | A. Huelsing | 33

34 Beschleunigte Schlüsselerzeugung Tree Chaining (XMSS+)
2h+1 → 2*2 h/2+1 = 2 h/2+2 j i Aber: Größere Signaturen! | TU Darmstadt | A. Huelsing | 34 30. März 2017 |

35 XMSS in der Praxis | TU Darmstadt | A. Huelsing | 35

36 XMSS – Instantiierungen Blockchiffren
Gegeben: Blockchiffre Ist pseudozufällige Funktionsfamilie Hashfunktion mittels Matyas-Meyer-Oseas & Merkle-Darmgard: K C M = M1 || M2 M1 M2 Das Naor und Yung Signaturschema signiert Nachrichten fester Länge k hk(M) | TU Darmstadt | A. Huelsing | 36 30. März 2017 |

37 XMSS – Instantiierungen Hashfunktion
Gegeben: M-D Hashfunktion Annahme: Ist zufällige Funktion aus Familie PRFF mittels HMAC Variante: M Pad(k) Das Naor und Yung Signaturschema signiert Nachrichten fester Länge h h(M) h IV | TU Darmstadt | A. Huelsing | 37 30. März 2017 |