Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Langzeitsichere Signaturen durch den Einsatz hashbasierter Signaturverfahren Andreas Hülsing, Johannes Braun 16.05.2013 | TU Darmstadt | A. Huelsing |

Ähnliche Präsentationen


Präsentation zum Thema: "Langzeitsichere Signaturen durch den Einsatz hashbasierter Signaturverfahren Andreas Hülsing, Johannes Braun 16.05.2013 | TU Darmstadt | A. Huelsing |"—  Präsentation transkript:

1 Langzeitsichere Signaturen durch den Einsatz hashbasierter Signaturverfahren Andreas Hülsing, Johannes Braun | TU Darmstadt | A. Huelsing | 1

2 Langzeitsicherheit Realwelt: Handschriftliche Signatur theoretisch unendlich gültig | TU Darmstadt | A. Huelsing | 2 Digital: Sicherheit Kryptographischer Schlüssel verblasst Verfahren können plötzlich unsicher werden

3 Outline Hash-basierte Signaturen Langzeitsicherheit | TU Darmstadt | A.Huelsing | 3

4 Hash-basierte Signaturen | TU Darmstadt | A. Huelsing | 4

5 RSA – DSA – EC-DSA - … | TU Darmstadt | A. Huelsing | 5 Trapdoor one- way function Digital signature scheme Collision resistant hash function RSA, DH, SVP, MQ, …

6 Merkles Signaturverfahren | TU Darmstadt | A. Huelsing | 6 OTS hh h hhhhh hhhh hh h PK Secret Key

7 State of the Art eXtended Merkle Signature Scheme (XMSS) / [PQ-Crypto, 2011] XMSS + [SAC 2012] Minimale komplexitätstheoretische Annahmen Generische Konstruktion Effizient (vergleichbar mit RSA) Vorwärtssicher | TU Darmstadt | A. Huelsing | 7

8 Vorwärtssichere Digitale Signaturen | TU Darmstadt | A. Huelsing | 8

9 Vorwärtssichere Digitale Signaturen | TU Darmstadt | A. Huelsing | 9 time classical pk sk Key gen. forward sec pk sk sk 1 sk 2 sk i sk T t1t1 t2t2 titi tTtT

10 XMSS Implementierungen C Implementierung mit OpenSSL Sign (ms) Verify (ms) Signature (byte) Public Key (byte) Secret Key (byte) Bit Security XMSS-SHA-215,171, H = 20, w = 64 XMSS-SHA-233,472, H = 20, w = 108 XMSS-AES-NI1,720, H = 20, w = 4 XMSS-AES2,870, H = 20, w = 4 RSA 20483,080, Intel(R) Core(TM) i5 CPU 2.53GHz with Intel AES-NI | TU Darmstadt | A. Huelsing | 10

11 XMSS Implementierungen Smartcard Implementierung Sign (ms) Verify (ms) Keygen (ms) Signature (byte) Public Key (byte) Secret Key (byte) Bit Sec. Comment XMSS h = 16, w = 4, k = 4 XMSS H = 16, w = 4, k = 2 XMSS H = 16, w = 32, k = 2 XMSS H = 20, w = 16, k = 4 RSA Infineon SLE78 8KB RAM, TRNG, Sym. co-processor | TU Darmstadt | A. Huelsing | 11

12 Langzeitsicherheit | TU Darmstadt | A. Huelsing | 12

13 XMSS Langzeitmechanismen Frühwarnsystem Redundanz Effizientere Archivierung (siehe Robuste PKI) | TU Darmstadt | A. Huelsing | 13 FREE

14 Frühwarnsystem | TU Darmstadt | A. Huelsing | 14

15 Eigenschaften von (Hash)Funktionsfamilien | TU Darmstadt | A. Huelsing | 15 Kollisionsresistenz 2 nd -preimage- resistenz Einweg Pseudozufällig Annahme / Angriffe stark / leichter schwach / schwerer

16 Angriffe auf Hashfunktionen | TU Darmstadt | A.Huelsing | MD5 Kollisionen (theo.) SHA-1 Kollisionen (theo.) MD5 Kollisionen (praktisch!) 2012 MD5 & SHA-1 Keine (Second-) Preimage Attacks!

17 Frühwarnsystem XMSS benötigt keine Kollisionsresistenz Wenn Kollisionsresistenz gebrochen – wechsel Hashfunktion Archiv: Übersignatur Nur halbe Wahrheit: Nachrichtenhash! Aber: Kein Problem für Archiv | TU Darmstadt | A.Huelsing | 17

18 Redundanz | TU Darmstadt | A.Huelsing | 18

19 Redundanz Hash-Combiner - Kollisionsresistenz / 2 nd -Preimage-Resistenz: - PRF: | TU Darmstadt | A. Huelsing | 19

20 Redundanz (contd) Verhindert unerwarteten Bruch des Verfahrens ersetzt Doppelsignatur Signaturgröße wächst nur minimal, i.e. +H*n Laufzeit ~ verdoppelt | TU Darmstadt | A.Huelsing | 20

21 Effiziente Archivierung | TU Darmstadt | A.Huelsing | 21

22 Kettenmodell mittels FSS sk 1 sk 2 sk i sk T sk 1 sk 2 sk 1 sk 2 sk j time End entity certificate CA certificate Root certificate | TU Darmstadt | A.Huelsing | 22

23 Robuste PKI -Kettenmodell mit FSS -> Weniger Zeitstempel -> Effizientere Archivierung | TU Darmstadt | A. Huelsing | 23

24 Danke! Fragen? | TU Darmstadt | A.Huelsing | 24

25 | TU Darmstadt | A.Huelsing | 25

26 Ausgabelänge von Hashfunktionen Hashfunktionsfamilie Annahme: - generische Angriffe, - Sicherheitslevel n Collision resistance: Generischer Angriff = Geburtstagsangriff m = 2n 2 nd -preimage resistance: Generischer Angriff = Vollständige Suche m = n | TU Darmstadt | A. Huelsing | 26

27 Konstruktion | TU Darmstadt | A. Huelsing | 27

28 Winternitz parameter w, security parameter n, message length m, function family Key Generation: Compute l, sample k, sample R WOTS | TU Darmstadt | Andreas Hülsing | 28 c 0 k (sk l, R ) = sk l c 1 k (sk l, R )pk l = c w-1 k (sk l, R ) c 0 k (sk 1, R ) = sk 1 c 1 k (sk 1, R ) pk 1 = c w-1 k (sk 1, R )

29 WOTS + Signature generation | TU Darmstadt | Andreas Hülsing | 29 M b1b1 b2b2 b3b3 b4b4 ………………… b l 1 b l 1+1 b l 1+2 ……blbl C c 0 k (sk l, R ) = sk l pk l = c w-1 k (sk l, R ) c 0 k (sk 1, R ) = sk 1 pk 1 = c w-1 k (sk 1, R ) σ 1 =c b 1 k (sk 1, R ) σ l =c b l k (sk l, R )

30 XMSS verwendet mehrere Einmalsignaturschlüssel. Generiert mittels Pseudozufallsgenerators (PRG), konstruiert mittels PRFF F n : Secret key: Zufälliger SEED für pseudozufällige Erzeugung des aktuellen Signaturschlüssels. XMSS – Secret key | TU Darmstadt | A. Huelsing | 30 PRG

31 | TU Darmstadt | A. Huelsing | 31 = (, b 0, b 1, b 2, h) XMSS – Public key b0b0 b0b0 b0b0 b0b0 b1b1 b1b1 bhbh Modifizierter Merkle Tree [Dahmen et al 2008] h: 2 nd -preimage resistant Hashfunktion Public key

32 XMSS Signatur | TU Darmstadt | A. Huelsing | 32 i i Signatur = (i,,,,) b0b0 b0b0 b0b0 b0b0 b1b1 b1b1 b2b2

33 Vorwärtssicheres XMSS | TU Darmstadt | A. Huelsing | 33 FSPRG PRG FSPRG: Vorwärtssicherer PRG basierend auf PRFF F n

34 i j Beschleunigte Schlüsselerzeugung Tree Chaining (XMSS + ) 2 h+1 2*2 h/2+1 = 2 h/2+2 Aber: Größere Signaturen! | TU Darmstadt | A. Huelsing | 34

35 XMSS in der Praxis | TU Darmstadt | A. Huelsing | 35

36 | TU Darmstadt | A. Huelsing | 36 XMSS – Instantiierungen Blockchiffren Gegeben: Blockchiffre Ist pseudozufällige Funktionsfamilie Hashfunktion mittels Matyas-Meyer-Oseas & Merkle-Darmgard: K M C k M1M1 M2M2 h k (M) M = M 1 || M 2

37 | TU Darmstadt | A. Huelsing | 37 XMSS – Instantiierungen Hashfunktion Gegeben: M-D Hashfunktion Annahme: Ist zufällige Funktion aus Familie PRFF mittels HMAC Variante: h Pad(k) h h(M) IV M


Herunterladen ppt "Langzeitsichere Signaturen durch den Einsatz hashbasierter Signaturverfahren Andreas Hülsing, Johannes Braun 16.05.2013 | TU Darmstadt | A. Huelsing |"

Ähnliche Präsentationen


Google-Anzeigen