Sicherer Kanal: von Alice zu Bob

Präsentation zum Thema: "Sicherer Kanal: von Alice zu Bob"—  Präsentation transkript:

1 Sicherer Kanal: von Alice zu Bob
Digitale Signaturen

2 Einwegfunktion (one way function)
►Injektive Funktion f: X ! Y mit: 8 x 2 X der Funktionswert f(x) effizient berechenbar ist und es gibt kein effizientes Verfahren um aus dem Bild y = f(x) das Urbild x zu berechnen. Einwegeigenschaft beruht im Wesentlichen auf Aussagen zur Effizienz bekannter Algorithmen zur Berechnung der Funktionswerte der Umkehrabbildung Letztlich unbewiesen, es sind lediglich keine effektiven (in polynomieller Zeit durchführbaren) Verfahren zur Umkehr bekannt. Faktorisierungsproblem Diskreter Logarithmus Dr. Wolf Müller

3 Faktorisierungsproblem
Gegeben zwei große (z.B. 200 Dezimalstellen) Primzahlen p und q Berechnung des Produkts n=p*q ist einfach, effizient auch für große natürliche Zahlen durchführbar. Für gegebenes n ist Primfaktorenzerlegung schwierig. Eines der ältesten Probleme der Zahlentheorie, zu dessen Lösung schon sehr gute Verfahren existieren. (Verfahren des Quadratischen Siebens, für Zahlen mit weniger als 110 Dezimalstellen) Für große n immer noch immenser Rechenaufwand. Dr. Wolf Müller

4 ►Diskreter Logarithmus
Gegeben Basis a, und n 2 N und die Funktion fa: {0,…,n-1} ! {0,…,n-1} mit fa(x)= ax = y mod n. Exponentaion modulo p effizient berechenbar! ►Diskreter Logarithmus: Berechnung der Zahl x zu gegebenem y x=loga y mod n, sodass gilt: y= ax mod n. Berechnung des diskreten Logarithmus für große Zahlen sehr aufwändig, (bis heute) keine effektiven Algorithmen bekannt. In Kryptosystemen häufig große Primzahl q und zugehöriges Galois-Feld GF(q) (Resklassenring mod q)gewählt. Aufwand für Berechnung des diskreten Logarithmus ungefähr gleich dem zur Faktorisierung wenn n ¼ q. Dr. Wolf Müller

5 Einwegfunktion mit Falltür
Echte Einwegfunktion unbrauchbar für asymmetrische Kryptographie, auch Berechtigte können Umkehrung nicht durchführen. Geheimnis soll Berechtigten von anderen unterscheiden. ►Injektive Funktion f: X ! Y heißt Einwegfunktion mit Falltür 8 x 2 X der Funktionswert f(x) effizient berechenbar ist und es gibt ein effizientes Verfahren zur Berechnung der Umkehrfunktion f -1(y) für alle y 2 f[X], jedoch das Urbild x von y nicht allein aus dem Zusammenhang y = f(x) bestimmbar ist, sondern dafür zusätzliche Informationen nötig sind. Dr. Wolf Müller

6 k-te Potenz modulo n Falls n= p·q Produkt aus zwei großen Primzahlen (Primfaktoren) so besitzt fk(x) = xk = y mod n eine Falltür (Kenntnis der Primfaktoren) und ist effektiv umkehrbar. Ohne Kenntnis der Faktorisierung ist für genügend große n (n > 10160) kein effektives Verfahren zur Umkehrung bekannt.  RSA Dr. Wolf Müller

7 Zusammengesetzter Modul n
Wenn n=p·q, mit p q Primzahlen, dann hat Funktion fg(x)  gx mod n eine Falltür (Chinesischer Restsatz ist anwendbar).  Kryptographie mit diskretem Logarithmus Dr. Wolf Müller

8 Diskrete Algebra Überblick: Definition von modulo-n Arithmetik
Gruppen, Ringe und Körper, Galois-Feld Inverse Elemente bezüglich der Multiplikation in mod n Potenzen in mod n, Theoreme Chinischer Restsatz Dr. Wolf Müller

9 Modulo Arithmetik Vorstellbar wie eine Uhr. Wir addieren und multiplizieren Zahlen und betrachten dabei nur den Rest. 3*5 mod 12 = 15 mod 12 = 3 mod 12 und mod 12 = 1 mod 12. Modulo-Rechnung ist besonders einfach, wenn der Modulus eine Primzahl ist. 12 ist nicht prim und 3*8 mod 12 = 0 mod 12. Jedoch ist weder 3 noch 8 kongruent 0 mod 12. Beachte: x = y mod n bedeutet, dass n (x-y) teilt. Dr. Wolf Müller

10 ►Gruppe Eine Algebra auf einer endlichen oder unendlichen Menge von Elementen K, die die folgenden Axiome erfüllen: 8 a,b 2 K : a + b = c 2 K ist eine Addition definiert. Summe ist assoziativ: (a + b) + c = a + (b + c) 9 0-Element: 8 a2 K : a + 0 = a. 8 a2 K : 9 a-1 ein inverses Element bezüglich der Addition mit: a + a-1 = 0 wird Gruppe genannt. Addition und Subtraktion sind für Gruppen definiert. Dr. Wolf Müller

11 ►Ring Wenn alle vorherigen Axiome (die für eine Gruppe) plus diese gelten: Summe ist kommutativ: 8 a,b 2 K : a + b = b + a . Produkt 8 a,b 2 K : a ± b = c 2 K ist definiert. Produkt ist assoziativ: 8 a,b,c 2 K : (a ± b) ± c=a ± ( b ± c). Distributivität: 8 a,b,c 2 K : a ± (b + c ) =a ± b + a ± c. haben wir einen Ring. Multiplikation ist in einem Ring zusätzlich zur Addition und Subtraktion definiert. Dr. Wolf Müller

12 ►Körper Wenn alle vorherigen Axiome gelten, plus:
Produkt ist kommutativ: 8 a,b 2 K : a ± b = b ± a. 9 1-Element 8 a,b 2 K : a ± 1=a. 8 a  0 2 K : 9 a-12 K (Inverses bezüglich der Multiplikation): a ± a-1 = 1. haben wir ein Körper. Division ist für Körper zusätzlich zur Multiplikation, Addition und Subtraktion definiert. Dr. Wolf Müller

13 Restklassenarithmetik mod n
Für Arithmetiken modulo n gelten Axiome 1 bis 10. Für Arithmetiken modulo p, gelten wenn p Primzahl, Axiome 1 bis 11. Charakteristik eines Ringes R: Wie oft muss man das 1-Element 1R aufaddieren, damit Summe gleich dem Nullelement 0R wird. Ist p eine Primzahl, so enthält jeder Körper der Charakteristik p einen Körper, der auf eindeutige Weise isomorph zum Restklassenring Z /pZ ist. Z /pZ heißt Primkörper (der Charakteristik p) und wird mit Galois-Feld GF(p) bezeichnet. Es kann gezeigt werden, dass jedes Element a[0,n-1] durch ein Element der gleichen Restklasse Ra modulo n ersetzt werden kann und dann die gleichen Rechenregeln gelten. Dr. Wolf Müller

14 Multiplikativ-inverse Elemente
In modulo-n Arithmetik, hat ein Element a≠0 mit ggT(n,a)=1 ein multiplikativ-inverses Element a-1. Möglicher Weg es zu finden: 1·a, 2·a, 3·a,… nicht praktikabel für große n. Andere Möglichkeit durch den Fakt, dass ggT(n,a) = 1 = a ·n +b ·a Das obige bedeutet mod n: 1 = b ·a mod n  a-1=b. Nutzung des erweiterten euklidischen Algorithmus für Bestimmung von a, b Dr. Wolf Müller

15 Euler’s f-Funktion f-Funktion für eine natürliche Zahl n ist definiert als: Anzahl der Zahlen kleiner als n, die teilerfremd zu n sind f(n) = | {z[1,n-1] mit ggT(n,z)=1} | Für Primzahl p sind alle z < p teilerfremd: f(p) = p – 1. f(n·m) ist multiplikativ, wenn ggT(n,m)=1 f(n·m) = f(n) · f(m). Dr. Wolf Müller

16 Euler’s f-Funktion n·2000 Dr. Wolf Müller

17 f(p·q) = [p·q - 1]-(p-1)-(q-1)=
Euler’s f-Function Fall n=p ·q, mit p≠q Primzahlen: f(p·q) = (p-1)·(q-1) weil: f(p·q) = [p·q - 1]-(p-1)-(q-1)= f(p ·q) = (p - 1)·(q - 1) Alle möglichen Zahlen Vielfache von p Vielfache von q Dr. Wolf Müller

18 af(n)  1 (mod n) 8 a: mit ggT(n,a)=1
■ Eulers Theorem af(n)  1 (mod n) a: mit ggT(n,a)=1 Für Primzahl f(p)= p -1 wird die Relation auch “Kleiner Satz von Fermat” genannt. ap-1  1 (mod p), für a[1,p-1] Dr. Wolf Müller

19 ■ Chinesischer Restsatz (Chinese Remainder Theorem)
■ Restklassensatz berechnet eine Zahl x mod n =p·q, wenn die Reste x modulo p und x modulo q bekannt sind. Input: (x mod p) und (x mod q) Ergebnis: (x mod n) mit n=p·q Dr. Wolf Müller

20 ■ Chinesischer Restsatz
ggT von zwei natürlichen teilerfremden p und q kann geschrieben werden als: ggT(p,q)= 1 = s·p + t·q, wobei s und t mit dem verallgemeinerten Euklidischen Algorithmus berechnet werden können. Mit a  x mod p und b  x mod q gegeben, kann abgeleitet werden: x  (b·s·p + a·t·q) mod n=p·q Dr. Wolf Müller

21 Chinesischer Restsatz
Lemma: Rest modulo p verändert sich nicht beim Übergang zu modulo n=p·q. Daher: y mod (p·q)  y (mod p) y mod (p·q)  y (mod q) Eindeutigkeit: Die Zahl x die mit dem Chinesischen Restsatz berechnet wird, ist eindeutig im Intervall [0, n-1]. Dr. Wolf Müller

22 RSA 1978 entwickelt von: RSA: Ronald Rivest, Adi Shamir, Leonard Adleman Verfahren selbst kein offizieller Standard, aber Bestandteil vieler Standards. Verwendung in Browsern SSL/TLS, S-Mime, … Heute de-facto Standard In USA patentiert 2000: Patent ausgelaufen Adi Shamir Ronald Rivest Leonard Adleman In 1997 it was disclosed that the public key cryptography ideas, the Diffi-Hellman and RSA cryptosystems, where actually invented in the late 1960s and early 1970s by researchers working at the British intelligence agency GCHQ [Nielsen2000, page 11] Dr. Wolf Müller

23 RSA-Funktionsweise (1)
Wähle zufällig zwei große Primzahlen p, q und berechne n =p·q. n wird RSA-Modul genannt. Wähle d2[0, n - 1], so dass d relativ prim (teilerfremd) zu (n) =( p - 1 ) ( q – 1 ) ist. D.h. ggT(d,(n)) =1. z.B. d Primzahl mit max(p,q) < d < (n) -1 Wähle e2[0, n - 1] mit e·d  1 mod (n), d.h. e ist das multiplikative Inverse zu d modulo (n). (e, n) ist der öffentliche Schlüssel. (d, n) ist der geheime Schlüssel. Dr. Wolf Müller

24 RSA-Funktionsweise (2)
Verschlüsseln eines Klartextes M2[0, n - 1]: E(M)  Me mod n. Entschlüsseln eines Chiffretextes C2[0, n - 1]: D(C)  Cd mod n. Sicherheit des RSA-Verfahrens beruht auf Geheimhaltung von p ,q , (n) Dr. Wolf Müller

25 ■RSA: Satz Für Schlüsselpaare (e, n) und (d, n), die gemäß 2. und 3. des RSA-Algorithmus gewählt sind gilt: M e·d mod n = M. RSA für Signaturen: M d·e mod n = M. Dr. Wolf Müller

26 af(n)  1 (mod n) 8 a: mit ggT(n,a)=1
■ Eulers Theorem af(n)  1 (mod n) a: mit ggT(n,a)=1 Für Primzahl f(p)= p -1 wird die Relation auch “Kleiner Satz von Fermat” genannt. ap-1  1 (mod p), für a[1,p-1] Dr. Wolf Müller

27  RSA: Satz Beweis Wegen 3. e·d = 1 mod (n) , e·d = k· (n) +1
Nehmen Eulers Theorem, nehmen k-te Potenz kN und multiplizieren mit M: Mf(n)  1 (mod n) (Mf(n))k  1k  Mk·f(n)  1 (mod n) Mk·f(n)+1  M (mod n) 8 M[0,n-1]: n=p oder n=p·q, p≠q.  M e·d mod n = M. Kommutativität  M d·e mod n = M. Dr. Wolf Müller

28 RSA Es gelten die folgenden Formeln: Verschlüsseln: C  (Me) mod n
Entschlüsseln: (Cd)  (Me)d mod n  M mod n Unterschreiben: S  (Md) mod n Überprüfen: (Se) ´(Md)e mod n  M mod n Operationen sind rechenintensiv! (z.B x langsamer als IDEA) Dr. Wolf Müller

29 RSA Implementierung Klartexte müssen erst in numerische Darstellung transformiert werden Ver- und Entschlüsselung in N Algorithmen zur effizienten Primzahlberechung (für 1.) Zufallszahlengenerator Miller-Rabin-Test Algorithmen zur effizienten Berechnung des multiplikativen Inversen (für 3.) Erweiterter Euklidischer Algorithmus Effektive Potenzierung großer Zahlen Wiederholtes Quadrieren und Multiplizieren Dr. Wolf Müller

30 RSA: Eigenschaften (1) Ver- und Entschlüsseln = Potenzieren mit festgelegtem Modul n Oft für öffentlichen Schlüssel (e,n) kleinerer Wert gewählt Schnelleres Verschlüsseln Schnelleres Überprüfen von digitalen Signaturen Modul n » k-Bits: Operationen mit öffentlichen Schlüssel O(k2) Operationen die privaten Schlüssel verwenden O(k3) Schlüsselerzeugung O(k4) (selten) Praxis: verwendete Werte für e: 3 (im PEM-Standard empfohlen) 17 oder 65537=216+1 (X.509-Standard empfohlen) Dr. Wolf Müller

31 RSA: Eigenschaften (2) Aufwendige Operationen (Multiplikation) für alle Klartextblöcke Langsamer als symmetrische Verfahren DES 1000x schneller als RSA in Hardware RSA wird nicht zur Verschlüsselung großer Datenmengen genutzt. RSA für Schlüsselaustausch 128Bit / 256 Bit Dr. Wolf Müller

32 RSA Modul Schnelligkeit oder Sicherheit? Großer Modul:
Schwieriger zu Brechen Größerer Wertebereich Längere Berechnungszeit Doppelte Modulgröße  4-fache Zeit für Verschlüsselung (e konstant)  8-fache Zeit für Entschlüsselung (d wächst exponentiell) 512-Bit RSA-Moulus heute nicht mehr ausreichend RSA Factoring Challenge: RSA-640 is factored! 2004 Empfehlung: 1024-Bit Sicherheitskritische Anwendungen: 2048-Bit Dr. Wolf Müller

33 RSA: Größe der Primzahlen p,q: n=pq
Für Sicherheit gegen Faktorisierung von n, p,q in der Größenordnung von 100-Dezimalstellen wählen. Primzahlen sollten sich um einige Ziffern in der Länge unterscheiden, nicht zu dicht bei Wuzel n liegen. Faktorisierungsangriff: Ziel: Primfaktorzerlegung einer natürlichen Zahl Annahme p,q dicht bei Algorithmus: n = a2 - b2 = (a+b) (a-b), a+b=p, a-b=q Beginn bei a wird schrittweise um 1 erhöht bis a2-n Quadratwurzel Dr. Wolf Müller

34 RSA: Angriff mit gewähltem Kryptotext
Alice , Bob Alice  Bob verschlüsselte Nachricht die von Angreifer X aufgezeichnet wird. X bestimmt Zufallszahl r < n und berechnet mit Bobs öffentlichen Schlüssel: Es gilt: X berechnet weiter: und Dr. Wolf Müller

35 RSA: Angriff mit gewähltem Kryptotext
X veranlasst Bob, Nachricht y zu signieren: X berechnet: Angreifer X in besitz des Klartexts M. Unterschiedliche Signier- und Verschlüsselungsschlüsselpaare! Keine unbekannten Dokumente signieren! Dr. Wolf Müller

36 RSA-original: Probleme
Winziger Klartext M, kleiner Verschlüsselungsexponet e:  Problematisch wenn Me < N Normale Wurzel möglich. Kurzer Klartext  Wörterbuchangriffe möglich. Abhilfe: Randomisiertes RSA-Padding, Hashfunktionen ISO 9796 Optimal Asymmetric Encryption Padding (OAEP) Probabilistic Signature Scheme (PSS) Dr. Wolf Müller

37 RSA: Fazit RSA gilt als praktisch sicher. Wichtig:
Vermutung, Faktorisierungsproblem nicht effizient lösbar gilt. Wichtig: Richtige Wahl der Modulgröße, sowie p und q zufällig wählen. RSA als Signaturverfahren: Dezidierter Signaturschlüssel Keine unbekannten Texte signieren Signaturen in Kombination mit Hashverfahren verwenden RSA ist Teil von PKCS Public-Key Cryptography Standars. Dr. Wolf Müller

38 ElGamal 1985 von Taher Elgamal entwickelt. Asymmetrische Methode für:
Digitale Unterschrift Schlüsselaustausch basiert auf diskretem Logarithmus. Schlüssel-Setup: Öffentlich bekannt: Primzahl p und Basis g, g2GF(p). Jeder Teilnehmer wählt zufällig einen privaten Schlüssel d und berechnet den öffentlichen Schlüssel e=gd mod p. Zur Verwendung großer Module wird geraten (>512 Bit), so dass der diskrete Logarithmus nicht berechnet werden kann. Dr. Wolf Müller

39 ElGamal: Digitale Unterschrift
Unterzeichner: Wählt für jede Unterschrift eine zufällige Zahl r[1,p-1], mit ggT(p-1,r)=1. Berechnet r -1 mod (p-1) mit erweitertem Euklidischem Algorithmus. Berechnet Nachrichtenidentifikationszahl: r = gr mod p. Berechnet Unterschriftselement s für gegebene Nachricht: d·r + r·s  M mod p-1 durch Lösung zu: s  ((M-d·r)·r -1) mod p-1 Unterschriebene Nachricht ist: (M, r, s). Dr. Wolf Müller

40 ElGamal: Digitale Unterschrift
Überprüfung: Erhalten unterschriebene Nachricht (M, r, s) und öffentlichen Schlüssel e des Unterzeichners. Überprüfen, dass gM  er·rs (mod p). Angreifer kann diese nicht fälschen! Dr. Wolf Müller

41 ElGamal: Key Exchange Modul p und Basis g sind öffentlich bekannt.
Schlüsselpaar d, (e=gd mod p) ist erzeugt. Sender: Erhält den öffentlichen Schlüssel des Senders e. Wählt zufällige Zahl a und berechnet: a = ga mod p. Berechnet geheimen Session-Key k = ea mod p. Verschlüsselt eine Nachricht mit irgendeiner symmetrischen Methode mit k: C=f(M,k). Übermittelt (a,C) zum Empfänger. Dr. Wolf Müller

42 ElGamal: Key Exchange Empfänger:
Berechnet Session-Key aus a mit privatem Schlüssel d: k =(a d) mod p. Entschlüsselt die Nachricht: M=f-1(C,k). Bemerkungen: System entspricht Hybrid-Kryptografie. Empfänger hat keine Gewissheit über die Herkunft von a, auch, wenn er der Einzige ist der den Session-Key extrahieren kann. Eine zusätzliche Unterschrift könnte die Authentizität der Nachricht (a,C) beweisen. Kryptografie mit elliptischen Kurven kommt mit kürzeren Schlüsseln aus. Verschlüsselung und Signierung effizienter als mit RSA bei vergleichbarer Sicherheit Gut geeignet für Geräte mit begrenztem Speicher- und Rechenleistungen  Smart Cards. Dr. Wolf Müller

43 Kryptografie mit elliptischen Kurven
Elliptic Curve Cryptorgaphy (ECC) unabhängig von Neal Koblitz und Victor Miller vorgeschlagen. Diskretes Logarithmus-Problem (DLP) wird für Gruppen auf elliptischen Kurven als schwieriger angesehen, als das Problem in der multiplikativen Gruppe von Null- verschiedener Elemente im zugrunde liegenden finiten Feld.

44 DLP in diskreten Feldern
GF(p)={1,2,3,…,p-1} Wähle zufälliges y 2 GF Wähle zufälliges x 2 GF gx mod p gy mod p Alice Bob Berechne k=(gy)x=gxy mod p Berechne k=(gx)y=gxy mod p Evil muss gxy aus gx und gy ohne Kenntnis von x und y berechnen. Er ist mit DLP in finiten Feldern konfrontiert!

45 Definition elliptischer Kurven (vereinfacht)
Eine elliptische Kurve über einem Feld F ist gegeben durch die Lösungen einer nonsingulären kubischen Funktion von zwei Variablen, f(x,y) =0. y2=x3 + ax +b Beispiele

46 Elliptische Kurven auf finiten Zahlen
Betrachten: y2 = x3 + 2x (mod 5) x = 0  y2 = 3   (mod 5) x = 1  y2 = 6 = 1  y = 1,4 (mod 5) x = 2  y2 = 15 = 0  y = 0 (mod 5) x = 3  y2 = 36 = 1  y = 1,4 (mod 5) x = 4  y2 = 75 = 0  y = 0 (mod 5) Wir erhalten folgende Punkte auf der Kurve: (1,1) (1,4) (2,0) (3,1) (3,4) (4,0) und den Punkt-Unendlich:  Durch Verwendung finiter Felder für Gruppe auf elliptischer Kurve erhalten wir ECDLP, welches schwerer zu lösen ist.

47 EC: Abelsche Gruppe Gegeben Punkte P,Q in E(p), dann existiert dritter Punkt P+Q in E(p) mit den folgenden Beziehungen 8 P,Q,R 2 E(p) Kommutativität: P + Q = Q + P Assoziativität: (P + Q) + R = P + (Q + R) 9 neutrales Element 1: P + 1 = 1 + P = P 9 inverses Element (-P): ( -P) + P = P + ( − P) = 1

48 EC: Punktaddition (geometrisch)
Betrachten Kurve y2 = x3 - x + 1 Wenn P1 und P2 2 E(p), kann P3 = P1 + P2 siehe Abbildung gefunden werden. Wenn P + P = 2*P berechnet wird, Verwendung der Tangente. Wenn kein Schnittpunkt, dann Punkt 1 Addition ist ausreichend, Punktmultiplikation mit Skalar ist damit implizit gegeben: n*P = P + … + P y P2 P1 x P3

49 ECC: Elliptic Curve Cryptography
ECC ist asymmetrisches Kryptosystem, wie auch: RSA,und El Gamal. Nutzer hat Schlüsselpaar (öffentlich/privat). Viele Verfahren / Protokolle auch in der Variante mit elliptischen Kurven Elliptic Curve Diffie-Hellman Key Exchange ECDHKE Elliptic Curve Digital Signature Algorithm ECDSA Relativ analog zu RSA: RSA: Potenzierung der Nachricht mit priv./öffentl. Schlüssel ECC: Punktmultiplikation (sukzessive Addition)

50 ECDLP auf elliptischen Kurven
Elliptische Kurve, a, b, E(p), Basispunkt B 2 E(p) Wähle zufälliges 1 < y < p Wähle zufälliges 1 < x < p (x*B) (y*B) Alice Bob Berechne k=(x*(y*B) ) Berechne k=(y*(x*B) ) Evil muss x*y*B aus x*B und y*B ohne Kenntnis von x,y berechnen. Er ist mit ECDLP d.h. auf elliptischer Kurve konfrontiert!

51 Example – Elliptic Curve Cryptosystem Analog to El Gamal
Alice chooses another random integer, k from the interval [1, p-1] The ciphertext is a pair of points PC = [ (kB), (PM + kPB) ] To decrypt, Bob computes the product of the first point from PC and his private key, b b * (kB) Bob then takes this product and subtracts it from the second point from PC (PM + kPB) – [b(kB)] = PM + k(bB) – b(kB) = PM Bob then decodes PM to get the message, M.

52 Example – Compare to El Gamal
The ciphertext is a pair of points PC = [ (kB), (PM + kPB) ] The ciphertext in El Gamal is also a pair. C = (gk mod p, mPBk mod p) Bob then takes this product and subtracts it from the second point from PC (PM + kPB) – [b(kB)] = PM + k(bB) – b(kB) = PM In El Gamal, Bob takes the quotient of the second value and the first value raised to Bob’s private value m = mPBk / (gk)b = mgk*b / gk*b = m

53 Vergleichbare Schlüssellängen RSA, ECDSA
NIST Special Publication Recommendation for Key March, 2007 Management – Part 1: General (Revised) Dr. Wolf Müller

54 ECC: Anwendungen Resourcenlimitierte Geräte: Anwendungsgebiete?
Wenig Speicher Schwache CPU Anwendungsgebiete? Mobile Geräte Drahtlosgeräte Smartcards z.B. nPA SSL/TLS … Schauen Sie bei eigenen Anwendungen: ECC ist ein interessanter Kandidat: Schutzziele: Vertraulichkeit, Integrität, Authentizität, Nicht-Absteitbarkeit ABER: Kürzere nötige Schlüssellängen Schellere Ver- / Entschlüsselung, Verifikation Einsparung: Bandbreite, Speicherplatz Problem: teilweise patentbehaftet

55 DSA (Digital Signature Algorithm)
DSS (Digital Signature Standard) wurde 1994 vom National Institute of Standards der USA als Signaturstandard festgelegt. DSA ist der Algorithmus, DSS der Standard Viele kritische Stimmen! Debatte: RSA sollte stattdessen benutzt werden, da Industrie-Quasistandard Schlüssellänge 1991: 512 Bit , wurde zur Verabschiedung erhöht. Kryptografisch aber OK. Dr. Wolf Müller

56 DSA: Voraussetzungen Beruht auf diskretem Logarithmus.
DSA ist Erweiterung der ElGamal und Schnorr Signaturverfahren Benötigte Parameter für DSA Primzahl p der Länge L Bit, wobei 512 ≤ L ≤1024 und L ein Vielfaches von 64 ist, also t < p < t mit t ={0, …, 8} Primfaktor q von p-1, wobei q 160 Bit lang sein muss. Wert g = j (p-1) / q mod p, wobei gilt: 0 < j < p-1 und j (p-1) / q mod p > 1 Geheimer Schlüssel x, mit 0 < x < q Öffentlicher Schlüssel y = gx mod p SHA-1 als sichere Hashfunktion. p, q, und g sind öffentlich bekannt, können von Benutzergruppe verwendet werden. Dr. Wolf Müller

57 DSA: Verwendung Signieren einer Nachricht M Überprüfung durch Bob
Alice generiert Zufallszahl 0< k <q Alice berechnet: r = (gk mod p) mod q s = k -1 (H(M) + xA r ) mod q k -1 ist das multiplikative Inverse von k modulo q. Parameter r und s bilden die Signatur (r,s), die Alice an Bob schickt. Überprüfung durch Bob Bob prüft generelle Gültigkeit: 1≤ r ≤ q-1 und 1 ≤ s ≤ q-1, ist eine der Bedingungen nicht erfüllt, so ist Signatur ungültig. Bob beschafft sich öffentlichen Schlüssel yA von Alice, berechnet: w = s-1 mod q u1= H(M) w mod q u2= r w mod q v = ( g u1y u2 mod p) mod q Wenn gilt: v=r so ist die Signatur verifiziert. Dr. Wolf Müller

58 DSA: Sicherheit Angreifer, der Alices Unterschrift fälschen möchte, benötigt privaten Schlüssel xA. Nur yA, p, q, g bekannt  xA muss berechnet werden: xA = logg yA mod p Diskreter Logarithmus: beste bekannte Verfahren benötigen: mehr als sqrt(q) Operationen, also da q > 2159 mehr als 279 Operationen. Möglicher Angriffspunkt ist Zufallszahl k. Wenn Angreifer k raten kann, kann er xA berechnen. Für Sicherheit von DSA ist guter Zufallszahlengenerator nötig! Dr. Wolf Müller

59 Angriff auf Signaturverfahren (1)
Alice , , Bob Alice  Bob signierte Nachricht und verschlüsselte Nachricht M Angreifer X fängt C ab und sendet sie seinerseits später weiter zu Bob. Bob entschlüsselt die von X erhalte Nachricht C mit seinem privatem Schlüssel und verifiziert sig mit Xs Verifikationsschlüssel (In der Regel M  M‘) Dr. Wolf Müller

60 Angriff auf Signaturverfahren (2)
Bob sendet nun M‘ verschlüsselt und signiert an X als Empfangsbestätigung zurück: ohne M‘ zu prüfen. (Mailsystem automatisch) X entschlüsselt C‘ mit seinem privatem Schlüssel und verifiziert mit öffentlichem Schlüssel von Bob und wendet erneut seinen privaten Schlüssel an, und verifiziert schließlich mit dem öffentlichen Schlüssel von Alice, X erhält ursprüngliche Nachricht! Lösung: Signieren des Hashs der Nachricht, nicht der Nachricht selbst! Dr. Wolf Müller

61 Elektronische Signaturen
Elektronische Signaturen sind durch Personen elektronisch erstellte Willenserklärungen oder Bestätigungen. Diese können im eigenen Namen oder im Auftrag erfolgen und sind immer personengebunden. Zweifelfrei Zuordnung zu natürlichen oder juristischen Personen. Digitales Gegenstück zu handschriftlichen Unterschrift. Dr. Wolf Müller

62 Beispiele Willenserklärungen Bestätigungen Bestellungen
Verträge Anträge Aufträge Bestätigungen Empfangsbescheinigungen Quittungen Dokumentationen Protokolle Bescheide Status Dr. Wolf Müller

63 Ziele: elektronische Signatur
Geschäftsverkehr zwischen Unternehmen, zwischen Privatpersonen und Unternehmen, zwischen Privatpersonen / Unternehmen und Behörden verlangen Sicherheit: Unterzeichner muss identifizierbar sein. Inhalt des Dokuments und das Identifizierungsmerkmal des Unterzeichners gehören zusammen. Nachträgliche Veränderungen am Dokument müssen erkennbar sein. Dr. Wolf Müller

64 Signatur: Anforderungen
Identifikation Unterschrift gibt Auskunft über Person des Unterzeichners Echtheit Unterschrift bezeugt, dass Dokument dem Aussteller vorlag und von ihm anerkannt wurde. Abschluss Unterschrift erklärt Text für inhaltlich richtig. Warnung Verfasser wird rechtliche Bedeutung des Dokuments aufgezeigt. Dr. Wolf Müller

65 Elektronische Signatur: Anforderungen
Soll äquivalent zu handschriftlicher Unterschrift sein: Zweifelsfreie Identität Signatur belegt zweifelsfrei Identität des Unterzeichners. Keine Wiederverwendbarkeit Signatur ist nur mit Originaldokument gültig. Unveränderbarkeit Signiertes Dokument darf nicht mehr veränderbar sein. Verbindlichkeit Unterzeichner darf das Unterzeichnen des Dokuments nicht im Nachhinein erfolgreich abstreiten können. Dr. Wolf Müller

66 Digitale Signaturen: Vorteile / Probleme
Digitales Herausfiltern von Unterschriften, Verbindung mit anderem Dokument einfacher als bei Papier. Vorteile: Verschlüsselung ist möglich, Dokument kann geheim gehalten werden. Festlegung der Gültigkeitsdauer, Zeitstempel. Hinterlegung von Schlüsseln bei vertrauenswürdiger Instanz gestattet effektive Überprüfung. Dr. Wolf Müller

67 Erstellung: Symmetrische Verfahren
Alice möchte signiertes Dokument an Bob schicken. Vertrauenswürdiger Vermittler wird gebraucht (Trent) KA, KB Schlüssel von Alice, bzw. Bob Protokoll: Alice verschlüsselt Dokument M mit KA , E(M, KA) = C1, sendet es an Trent. Trent entschlüsselt C1 mit KA , D(C1, KA)=M und fügt dem entschlüsselten Dokument einen Vermerk P hinzu, mit dem er bestätigt, dass das Dokument von Alice stammt. Er protokolliert M und P für spätere Prüfzwecke in seiner privaten Datenbank. Trent verschlüsselt M plus Bestätigung mit KB und sendet dies an Bob E(M|P, KB) = C2. Bob entschlüsselt C2.mit KB, erhält Dokument und Bestätigung, dass es von Alice ist, D(C2, KB) =M|P. DB vorab vereinbarter Schlüssel KA : Alice KB : Bob … DB für ausgestellte Bestätigungen … M,P von Alice Vertrauenswürdiger Vermittler Trent Alice KA Bob KB Dr. Wolf Müller

68 Symmetrische Verfahren: Erfüllung der Anforderungen
Zweifelsfreie Identität OK. Trent weiß, dass die Nachricht von Alice kam (Nur Alice kennt außer ihm selbst den Schlüssel). Bestätigung P beweist dies Bob. Keine Wiederverwendbarkeit OK. Kein Angreifer kann Signatur wiederverwenden. Sollte Bob versuchen, die Bestätigung für anderes Dokument zu verwenden, so kann Alice widersprechen. Bob müsste M‘ und das von Alice verschlüsselte Dokument C1 vorlegen. Tent entschlüsselt und stellt fest: M≠M‘, alternativ kann Tent DB nutzen. Unveränderbarkeit OK. Verbindlichkeit OK. Trent DB. Voraussetzungen für symmetrische Verfahren nur schwer zu gewährleisten: Sicherer authentifizierter Schlüsselaustausch. Jeder Kommunikationspartner für sichere Verwahrung selbst zuständig. Vertrauenswürdigkeit des Vermittlers. Manipulationen an der DB verhindern. Probleme: Zeitaufwendig Zentrale Komponente stark belastet. Signaturgesetze sehen asymmetrische Verfahren vor! Dr. Wolf Müller

69 Erstellung: Asymmetrische Verfahren
RSA: Verschlüsseln und Signieren möglich dezidierte Verfahren: DSA (Digital Signature Algorithm) nur signieren Protokoll: (SA,VA) Schlüsselpaar von Alice (privater Signaturschlüssel, öffentlicher Verifikationsschlüssel) Alice hinterlegt VA in öffentlicher Datenbank. Alice signiert Dokument M durch Verschlüsseln mit ihrem privaten Schlüssel D(M,SA)=sig, und sendet das signierte Dokument sig an Bob. Bob ruft den benötigten Verifikationsschlüssel VA aus der öffentlichen Datenbank ab und verifiziert die Signatur sig, M=E(sig,VA). Dr. Wolf Müller

70 Asymmetrische Verfahren: Erfüllung der Anforderungen
Zweifelsfreie Identität OK. Unter Voraussetzung, dass öffentlicher Verifikationsschlüssel eindeutig juristischer Person zuzuordnen ist. Keine Wiederverwendbarkeit OK. Ergebnis der Verschlüsselungsoperation ist vom verschlüsselten Dokument abhängig. Unveränderbarkeit OK. Änderung ist erkennbar. Verbindlichkeit OK. Allice kann solange der Schlüssel nicht kompromittiert ist, Signatur nicht zurückweisen. Voraussetzungen für asymmetrische Verfahren : Für Prüfung der zweifelsfreien Identität sind zusätzliche Maßnahmen erforderlich, die Authentizität des öffentlichen Verifikationsschlüssels bestätigen. Vertrauen, Trust nötig. Web of Trust PGP. PKI im geschäftlichen Umfeld. Probleme: Schutz des privaten Schlüssels Rückruf Zeitstempel, Gültigkeitsbereich Dr. Wolf Müller

71 Grundlagen der elektronischen Signatur Recht Technik Anwendung ….. Dr. Wolf Müller

72 Ergänzung (elektr.) Zeitstempel
Zeitstempel werden für Nachweise genutzt, dass der Inhalt eines elektronischen Dokuments zu einem bestimmten Zeitpunkt genau mit dem Inhalt bereits vorlag. Erstellungsdatum und Uhrzeit des Zeitstempels Hashwert (Prüfsumme des „gestempelten“ Dokumenteninhalts) Zeitstempel werden im allgemeinen durch entsprechende (Online- / Server-)Dienste angeboten, die die aktuelle (beglaubigte) Uhrzeit liefern. Zeitstempel werden vorrangig automatisiert erstellt und sind nicht personengebunden. Dr. Wolf Müller

73 Gesetzliche Rahmenbedingungen
Im Signaturgesetz (SigG) und in der Verordnung zum Signaturgesetz (SigV) werden die elektronischen Signaturen selbst und insbesondere die Anforderungen an elektronische Signaturen und Zertifizierungsdienst-Anbieter definiert. Rahmenbedingungen jedoch, wann welche elektronische Signatur verwendet werden kann oder muss, werden nicht im Signaturgesetz definiert, sondern beruhen im wesentlichen auf dem Bürgerlichen Gesetzbuch (BGB) und anderen Gesetzen sowie Rechts- und Verwaltungsverordnungen. Dr. Wolf Müller

74 Signaturgesetz Einfache elektronische Signaturen
Daten zur Authentifizierung beigefügt. Signaturanbieter muss nicht für Richtigkeit und Vollständigkeit der Zertifikatangaben haften. Fortgeschrittene elektronische Signaturen sind ausschließlich dem Signaturschlüsselinhaber zugeordnet, ermöglichen dessen Identifizierung, sind mit Mitteln erzeugt, die Signaturschlüsselinhaber unter seiner alleinigen Kontrolle halten kann, und mit den Daten, auf die sie sich beziehen, so verknüpft, dass eine nachträgliche Veränderung der Daten erkannt werden kann. Qualifizierte elektronische Signatur fortgeschritten el. Signatur, die zum Zeitpunkt ihrer Erstellung auf gültigem Zertifikat beruht und mit sicherer Signaturerstellungseinrichtung erzeugt wurde. Zertifikat: mit qualifizierter elektronischer Unterschrift versehene, digitale Bescheinigung über Zuordnung eines öffentlichen Signaturschlüssels zu einer natürlichen Person. Dr. Wolf Müller

75 Elektronische Signatur
Aus: Dr. Wolf Müller

76 Qualifizierte elektronische Signatur
Unterzeichner muss Inhaber eines qualifiziert zugewiesenen Zertifikats sein und hat asymmetrisches Schlüsselpaar zugewiesen bekommen. Unabhängig von der rechtlichen Einordnung (einfache / fortgeschrittene / qualifizierte Signatur) ist eine auf Zertifikaten aufsetzende elektronische Signatur eine Datenstruktur, die folgende wesentlichen Informationen enthält: Hashwert (z.B. des Dokumenteninhalts) Angaben über das genutzte Hash-Verfahren Public Key (des Zertifikats-Inhabers) Dr. Wolf Müller

77 Das Zertifikat Elektronische Bescheinigung, dass einer Person ein bestimmtes asymmetrisches Schlüsselpaar zugeordnet wurde und diese Person nach bestimmten Regeln vorab (z.B. bei der Antragsstellung) identifiziert wurde. Darf zur Zeit nur an Personen und nicht an Unternehmen oder Institutionen ausgegeben werden. Zertifikatvergabe (und damit auch die Zuordnung eines Schlüsselpaares zu einer Person) darf nur von Zertifizierungsanbieter (ZDA, Trust Center) vorgenommen werden. Der internationale Begriff dafür ist CA (Certificate Authority). Es gibt solche Zertifikate in verschiedenen Abstufungen. Dies richtet sich nach dem Status des jeweiligen Zertifizierungsdienstanbieters, welche Arten von Zertifikate dieser anbieten darf. Dr. Wolf Müller

78 Technische Anforderungen an QES
Ausschließlich „zertifikatsbasierte“ Signaturverfahren. Ersteller einer Signatur ist bei einem Trust Center (ZDA / Zertifizierungsdienstanbieter) registriert. Trust Center liefern Signaturersteller ein asymmetrisches Schlüsselpaar (Private und Public Key) oder auf SSE erstellt. Zusätzlich wird ein Zertifikat ausgestellt, das die Zusammengehörigkeit des öffentlichen Schlüssels (Public Key) und der Identität des Zertifikatsinhabers dokumentiert (Ausweisung beim Trust Center). Dr. Wolf Müller

79 Ausführungspraxis Chipkarten
Chipkarten enthalten „Private Key“, der während des Signiervorgangs durch Eingabe einer – ebenfalls auf der Chipkarte hinterlegten - PIN (Nutzer-Identifizierung) zur Erstellung einer Signatur nutzbar wird. Erstellung einer qualifizierten elektronischen Signatur muss eine „sichere Signaturerstellungseinheit“ (die Chipkarte + Lesegerät) eingesetzt werden. Derzeit erfüllen lediglich bestimmte Chipkartenleseeinheiten diese hohen Sicherheitsanforderungen. Problem: Manipulationen am Kommunikationskanal zwischen Karte und Codierungssoftware. Was unterschreibe ich eigentlich? Dr. Wolf Müller

80 Rechtliches Restproblem
Zwar wird angenommen, dass der Signierende auch der rechtmäßige Karteninhaber ist, doch beweisen kann man dies nicht. Aus diesem Grund wurde für qualifizierte Signaturen der so genannte Anscheinsbeweis (ZPO § 292a) eingeführt. Die Beweisführung bei qualifizierten Signaturen, dass der Karteninhaber NICHT signiert hat, obliegt damit dem Karteninhaber. Dr. Wolf Müller

81 Anpassung von Vertragsbestimmungen
In den meisten vertraglichen Vereinbarungen existiert der Passus, dass Änderungen der Vereinbarung in Schriftform zu erfolgen haben. Zur Ausräumung von Zweifeln bei Vereinbarungen, die nicht der Schriftform unterliegen, sollte für elektronische Dokumente die entsprechende Anpassung vorgenommen werden. Dr. Wolf Müller

82 Zuordnung der elektronischen Signatur zum Unterzeichner
Bei Kartenanwendung mit Zertifikat wird pivater Schlüssel des registrierten Zertifikatsinhabers zur Signaturerstellung genutzt. Der dazugehörige öffentlichen Schlüsel (mit dem Dokument mitgegeben) des Zertifikats ermöglicht die Identifizierung des Unterzeichners über das (Online) Trust Center. Über die Annahme, dass der Zertifikatsinhaber selbst unterzeichnet hat, gilt der Ersteller von qualifizierten Signaturen als identifiziert. Da Hash mit privatem Schlüssel des Zertifikatsinhabers verschlüsselt wird, gilt damit die Signierung genau der vorliegenden der Daten (Informationen) als nachgewiesen. Dr. Wolf Müller

83 Vorhaltung signierter Dokumente als Beweismittel
Elektronische Signaturen sind ab Zeitpunkt ihrer Erstellung im Grunde immer gültig. Ungültig werden „nur“ das zur Signaturerstellung verwendete Verschlüsselungsverfahren sowie bei zertifikatsbasierten Signaturverfahren die ausgegebenen Zertifikate. Zertifikate sind durchschnittlich 2 – 3 Jahre gültig, max. 5 Jahre Nach der Sperre müssen Zertifikate für qualifizierte Signaturen noch weitere 5 Jahre vom ZDA (Zertifizierungsdienst-Anbieter) zur Identifizierung vorgehalten werden, Zertifikate für qualifizierte Signaturen mit Anbieterakkreditierung sogar 30 Jahre. Dr. Wolf Müller

84 Zeitfrage Man geht davon aus, dass nach einigen Jahren die Algorithmen der Verschlüsselungsverfahren geknackt werden können und damit der zur Signaturerstellung verwendete private Schlüssel berechnet werden kann. Dann könnte auf Basis eines veränderten Dokumenten-Inhalts der neue Hashwert mit dem ermittelten Private Key verschlüsselt werden und somit Dokumenteninhalt und elektronische Signatur gefälscht werden. Als Zeitraum für die derzeitige Verwendbarkeit heutiger Verschlüsselungs-algorithmen werden im allgemeinen 6 Jahre genannt. Der tatsächliche Zeitraum dürfte deutlich höher sein. Aus Sicherheitsgründen wird aber für die geprüften Verfahren eine maximale Gültigkeit von 5 Jahren angenommen. Trifft man für den Zeitraum nach Ablauf der Verwendbarkeit von Verschlüsselungsalgorithmen keine Vorkehrungen, dann besteht die Gefahr, dass die Beweiskraft heute signierter jedoch nicht sicher verwahrter Dokumente zumindest in Frage gestellt werden kann. Dr. Wolf Müller

85 Ablage oder Archivierung von signierten Dokumenten?
Die Frage, ob ein signiertes Dokument in einer Ablage gehalten werden soll oder in ein elektronisches Archiv gestellt werden soll, ergibt sich aus der Frage, wann ein signiertes Dokument als Beweismittel benötigt wird. Wenn dies innerhalb von Jahren nach Signierung notwendig wird, ist - unabhängig von sonstigen zu empfehlenden Sicherungsmaßnahmen - eine Vorhaltung auf einer Festplatte theoretisch ausreichend, da bei einer Signaturprüfung die Verschlüsselungsverfahren noch gültig sind. Dr. Wolf Müller

86 Nachsignierung Ist u.U. nach Ablauf der Gültigkeit der Verschlüsselungsverfahren notwendig. Zur Erhaltung der Beweiskraft eines elektronisch signierten Dokuments ist die so genannte Nachsignierung vor Ablauf der Gültigkeit von Verschlüsselungsalgorithmen möglich, indem der Unterzeichner das bereits schon einmal signierte Dokument erneut signiert. Dr. Wolf Müller

87 Revisionssicheres Archiv
Weitere Möglichkeit: Übernahme des Dokuments samt seiner elektronischen Signatur in ein elektronisches Archiv. Signierte Dokumente sowie auch separat gehaltene elektronische Signaturen erhalten einen Zeitstempel. Ab Zeitpunkt der Archivierung übernimmt das elektronische Archiv die Verantwortung für die Nichtveränderbarkeit des Dokuments bzw. der elektronischen Signaturen. Für elektronische Archive, die solche Anforderungen erfüllen, hat sich der Begriff „revisionssicheres Archiv“ etabliert. Dr. Wolf Müller