Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Langzeitsichere Signaturen durch den Einsatz hashbasierter Signaturverfahren Andreas Hülsing, Johannes Braun 16.05.2013 | TU Darmstadt | A. Huelsing |

Ähnliche Präsentationen


Präsentation zum Thema: "Langzeitsichere Signaturen durch den Einsatz hashbasierter Signaturverfahren Andreas Hülsing, Johannes Braun 16.05.2013 | TU Darmstadt | A. Huelsing |"—  Präsentation transkript:

1 Langzeitsichere Signaturen durch den Einsatz hashbasierter Signaturverfahren Andreas Hülsing, Johannes Braun 16.05.2013 | TU Darmstadt | A. Huelsing | 1

2 Langzeitsicherheit Realwelt: Handschriftliche Signatur theoretisch unendlich gültig 16.05.2013 | TU Darmstadt | A. Huelsing | 2 Digital: Sicherheit Kryptographischer Schlüssel verblasst Verfahren können plötzlich unsicher werden

3 Outline Hash-basierte Signaturen Langzeitsicherheit 16.05.2013 | TU Darmstadt | A.Huelsing | 3

4 Hash-basierte Signaturen 16.05.2013 | TU Darmstadt | A. Huelsing | 4

5 RSA – DSA – EC-DSA - … 16.05.2013 | TU Darmstadt | A. Huelsing | 5 Trapdoor one- way function Digital signature scheme Collision resistant hash function RSA, DH, SVP, MQ, …

6 Merkles Signaturverfahren 16.05.2013 | TU Darmstadt | A. Huelsing | 6 OTS hh h hhhhh hhhh hh h PK Secret Key

7 State of the Art eXtended Merkle Signature Scheme (XMSS) / [PQ-Crypto, 2011] XMSS + [SAC 2012] Minimale komplexitätstheoretische Annahmen Generische Konstruktion Effizient (vergleichbar mit RSA) Vorwärtssicher 16.05.2013 | TU Darmstadt | A. Huelsing | 7

8 Vorwärtssichere Digitale Signaturen 16.05.2013 | TU Darmstadt | A. Huelsing | 8

9 Vorwärtssichere Digitale Signaturen 16.05.2013 | TU Darmstadt | A. Huelsing | 9 time classical pk sk Key gen. forward sec pk sk sk 1 sk 2 sk i sk T t1t1 t2t2 titi tTtT

10 XMSS Implementierungen C Implementierung mit OpenSSL Sign (ms) Verify (ms) Signature (byte) Public Key (byte) Secret Key (byte) Bit Security XMSS-SHA-215,171,022.0831.6963.364146H = 20, w = 64 XMSS-SHA-233,472,341.9231.6963.364100H = 20, w = 108 XMSS-AES-NI1,720,112.4519121.68493H = 20, w = 4 XMSS-AES2,870,222.4519121.68493H = 20, w = 4 RSA 20483,080,09 256 512 87 Intel(R) Core(TM) i5 CPU M540 @ 2.53GHz with Intel AES-NI 16.05.2013 | TU Darmstadt | A. Huelsing | 10

11 XMSS Implementierungen Smartcard Implementierung Sign (ms) Verify (ms) Keygen (ms) Signature (byte) Public Key (byte) Secret Key (byte) Bit Sec. Comment XMSS13423925.4002.3888002.44897h = 16, w = 4, k = 4 XMSS + 106255.6003.4765443.76096H = 16, w = 4, k = 2 XMSS + 1732810.5001.5885443.05692H = 16, w = 32, k = 2 XMSS + 1242228.3001.9565763.74489H = 20, w = 16, k = 4 RSA 2048 190711.000 256 51287 Infineon SLE78 16Bit-CPU@33MHz, 8KB RAM, TRNG, Sym. co-processor 16.05.2013 | TU Darmstadt | A. Huelsing | 11

12 Langzeitsicherheit 16.05.2013 | TU Darmstadt | A. Huelsing | 12

13 XMSS Langzeitmechanismen Frühwarnsystem Redundanz Effizientere Archivierung (siehe Robuste PKI) 16.05.2013 | TU Darmstadt | A. Huelsing | 13 FREE

14 Frühwarnsystem 16.05.2013 | TU Darmstadt | A. Huelsing | 14

15 Eigenschaften von (Hash)Funktionsfamilien 16.05.2013 | TU Darmstadt | A. Huelsing | 15 Kollisionsresistenz 2 nd -preimage- resistenz Einweg Pseudozufällig Annahme / Angriffe stark / leichter schwach / schwerer

16 Angriffe auf Hashfunktionen 16.05.2013 | TU Darmstadt | A.Huelsing | 16 20042005 2008 MD5 Kollisionen (theo.) SHA-1 Kollisionen (theo.) MD5 Kollisionen (praktisch!) 2012 MD5 & SHA-1 Keine (Second-) Preimage Attacks!

17 Frühwarnsystem XMSS benötigt keine Kollisionsresistenz Wenn Kollisionsresistenz gebrochen – wechsel Hashfunktion Archiv: Übersignatur Nur halbe Wahrheit: Nachrichtenhash! Aber: Kein Problem für Archiv 16.05.2013 | TU Darmstadt | A.Huelsing | 17

18 Redundanz 16.05.2013 | TU Darmstadt | A.Huelsing | 18

19 Redundanz Hash-Combiner - Kollisionsresistenz / 2 nd -Preimage-Resistenz: - PRF: 16.05.2013 | TU Darmstadt | A. Huelsing | 19

20 Redundanz (contd) Verhindert unerwarteten Bruch des Verfahrens ersetzt Doppelsignatur Signaturgröße wächst nur minimal, i.e. +H*n Laufzeit ~ verdoppelt 16.05.2013 | TU Darmstadt | A.Huelsing | 20

21 Effiziente Archivierung 16.05.2013 | TU Darmstadt | A.Huelsing | 21

22 Kettenmodell mittels FSS sk 1 sk 2 sk i sk T sk 1 sk 2 sk 1 sk 2 sk j time End entity certificate CA certificate Root certificate 16.05.2013 | TU Darmstadt | A.Huelsing | 22

23 Robuste PKI -Kettenmodell mit FSS -> Weniger Zeitstempel -> Effizientere Archivierung 16.05.2013 | TU Darmstadt | A. Huelsing | 23

24 Danke! Fragen? 16.05.2013 | TU Darmstadt | A.Huelsing | 24

25 02.12.2011 | TU Darmstadt | A.Huelsing | 25

26 Ausgabelänge von Hashfunktionen Hashfunktionsfamilie Annahme: - generische Angriffe, - Sicherheitslevel n Collision resistance: Generischer Angriff = Geburtstagsangriff m = 2n 2 nd -preimage resistance: Generischer Angriff = Vollständige Suche m = n 16.05.2013 | TU Darmstadt | A. Huelsing | 26

27 Konstruktion 16.05.2013 | TU Darmstadt | A. Huelsing | 27

28 Winternitz parameter w, security parameter n, message length m, function family Key Generation: Compute l, sample k, sample R WOTS + 21.03.2013 | TU Darmstadt | Andreas Hülsing | 28 c 0 k (sk l, R ) = sk l c 1 k (sk l, R )pk l = c w-1 k (sk l, R ) c 0 k (sk 1, R ) = sk 1 c 1 k (sk 1, R ) pk 1 = c w-1 k (sk 1, R )

29 WOTS + Signature generation 21.03.2013 | TU Darmstadt | Andreas Hülsing | 29 M b1b1 b2b2 b3b3 b4b4 ………………… b l 1 b l 1+1 b l 1+2 ……blbl C c 0 k (sk l, R ) = sk l pk l = c w-1 k (sk l, R ) c 0 k (sk 1, R ) = sk 1 pk 1 = c w-1 k (sk 1, R ) σ 1 =c b 1 k (sk 1, R ) σ l =c b l k (sk l, R )

30 XMSS verwendet mehrere Einmalsignaturschlüssel. Generiert mittels Pseudozufallsgenerators (PRG), konstruiert mittels PRFF F n : Secret key: Zufälliger SEED für pseudozufällige Erzeugung des aktuellen Signaturschlüssels. XMSS – Secret key 16.05.2013 | TU Darmstadt | A. Huelsing | 30 PRG

31 16.05.2013 | TU Darmstadt | A. Huelsing | 31 = (, b 0, b 1, b 2, h) XMSS – Public key b0b0 b0b0 b0b0 b0b0 b1b1 b1b1 bhbh Modifizierter Merkle Tree [Dahmen et al 2008] h: 2 nd -preimage resistant Hashfunktion Public key

32 XMSS Signatur 16.05.2013 | TU Darmstadt | A. Huelsing | 32 i i Signatur = (i,,,,) b0b0 b0b0 b0b0 b0b0 b1b1 b1b1 b2b2

33 Vorwärtssicheres XMSS 16.05.2013 | TU Darmstadt | A. Huelsing | 33 FSPRG PRG FSPRG: Vorwärtssicherer PRG basierend auf PRFF F n

34 i j Beschleunigte Schlüsselerzeugung Tree Chaining (XMSS + ) 2 h+1 2*2 h/2+1 = 2 h/2+2 Aber: Größere Signaturen! 16.05.2013 | TU Darmstadt | A. Huelsing | 34

35 XMSS in der Praxis 16.05.2013 | TU Darmstadt | A. Huelsing | 35

36 16.05.2013 | TU Darmstadt | A. Huelsing | 36 XMSS – Instantiierungen Blockchiffren Gegeben: Blockchiffre Ist pseudozufällige Funktionsfamilie Hashfunktion mittels Matyas-Meyer-Oseas & Merkle-Darmgard: K M C k M1M1 M2M2 h k (M) M = M 1 || M 2

37 16.05.2013 | TU Darmstadt | A. Huelsing | 37 XMSS – Instantiierungen Hashfunktion Gegeben: M-D Hashfunktion Annahme: Ist zufällige Funktion aus Familie PRFF mittels HMAC Variante: h Pad(k) h h(M) IV M


Herunterladen ppt "Langzeitsichere Signaturen durch den Einsatz hashbasierter Signaturverfahren Andreas Hülsing, Johannes Braun 16.05.2013 | TU Darmstadt | A. Huelsing |"

Ähnliche Präsentationen


Google-Anzeigen