Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Analyse kryptographischer Protokolle mittels Algebren basierend auf den Arbeiten von M.J. Merrit Marie-Jeanne Toussaint.

Ähnliche Präsentationen


Präsentation zum Thema: "Analyse kryptographischer Protokolle mittels Algebren basierend auf den Arbeiten von M.J. Merrit Marie-Jeanne Toussaint."—  Präsentation transkript:

1 Analyse kryptographischer Protokolle mittels Algebren basierend auf den Arbeiten von M.J. Merrit Marie-Jeanne Toussaint

2 Überblick Dolev und Yao M.J. Merritt M.J. Toussaint C. Meadows (NARROWER) Syverson (KPL-Logic) Syverson & Meadows (NRL Protocol Analyzer)

3 Algebra ??? Algebra:A = (D,R 1,...,R k ) D Menge R i Relationen Subalgebra:A = (D,R 1,...,R k ) wobei D Reduktion:B = (D,R 1 ) oder B = (D,R 2,R 5 )

4 crypto-algebra C C := (M, K, E, D) M : Klartext und Verschlüsselter Text K : Schlüssel Operatoren: E : Verschlüsselungsfunktion D : Entschlüsselungsfunktion

5 free-algebra F F := (M, K, e, d) M : Klartext und Verschlüsselter Text K : Schlüssel Operatoren: e : Verschlüsselungsfunktion d : Entschlüsselungsfunktion

6 Idealisierung Annahme: Das Kryptosystem ist perfekt. modelliert durch die Annahme daß : F C ein Isomorphismus ist ???

7 Modellieren von Wissen Definition 1: Ein Wissenszustand K (state of knowledge) in einem Kryptosystem ist ein Teilmengen von F x C. partitioniert in den drei endlichen Mengen: F, V, SV Cl(X) sei der Abschluß über den Verschlüsselungs- und Entschlüsselungs- operatoren einer Teilmenge von F

8 F (für fixiert) F := (a,b) die eine eineindeutige Abbildung aus einer Teilmenge von F in eine Teilmenge von C definieren entspricht Elementen die ein Teilnehmer gesehen hat und deren Existenz von Beginn an bekannt waren Identifiziert durch: a Cl(F) – bekannte Teil (known fraction)

9 V (für Variablen) V := (x,y) wobei x ein fixierter Generator aus F ist und y eine Teilmenge von Generatoren von C entspricht Generatoren aus C die ein Teilnehmer nicht gesehen hat aber deren Existenz ihm bekannt ist Identifiziert durch:

10 SV (für Semi-Variablen) SV := (z,a) wobei a ein fixiertes Element aus C ist und z zu einer endlichen Teilmenge von Cl(F V)\(Cl(F) V) gehört entspricht Elementen die ein Teilnehmer gesehen aber nicht identifizieren kann Identifiziert durch: z * Cl(F SV) – gesehene Teil (seen fraction)

11 Beispiel coin-flip protocol: 1.A wählt zufällig einen Schlüssel k in K und verschiedene Nachrichten m 1, m 2 in {T,H}. A sendet em 1 = E (k,m 1 ) und em 2 = E (k,m 2 ) an B. 2.B wählt u in {em 1,em 2 } und sendet u an A. 3.A sendet k an B. Nun kennen beide das Ergebnis des Münzwurfes indem sie den Entschlüsselungsoperator D auf u anwenden.

12 Wissenszustände K(B,1)=F(B,1) V(B,1) SV(B,1): F(B,1)={T,H} V(B,1)={ } SV(B,1)={em 1 *,em 2 * } (em 1 * em 2 * ) K(B,3)=F(B,3) V(B,3) SV(B,3): F(B,3)={T,H,k} V(B,3)= SV(B,3)=

13 Schleißen aus dem gesehenen Teil eines Teilnehmers Annahme K = F V SV : F = {k 1,m 1 }; V = {, }; SV = {e(, )}; gesehene Teil: e(k 1,m 1 ) stimmen Bilder von e(k 1,m 1 ) und e(, ) überein, so werden diese Elemente unifiziert ( = k 1 und = m 1 heißen constraints der Unifikation) stimmen Bilder von e(k 1,m 1 ) und e(, ) nicht überein, so werden diese Elemente kontra-unifiziert ( k 1 und m 1 heißen constraints der Kontraunifikation)

14 Modellieren von Glauben Definition 2: Ein Glaubenszustand assoziierbar zu einem Wissenszustand K ist eine maximale Einschränkung von K auf eine eineindeutige Abbildung. (Annahme bezogen auf einen Wissenszustand eines anderen Teilnehmers) Für jeden Glaubenszustand Be existiert genau eine Instanz i der Variablen des Wissenszustands, so daß Be = F {(, i( ))} {(i(z * ),SV(z * ))} ist.

15 Schleißen aus dem Abschluß des Glaubenszustands Sei K = F V SV : F = ; V = {, }; SV = {e(, )}; Annahme: Be = {(, k c ),(, m c )} {e(, ),SV(e(, )) } berechnen Cl(Be) wenn Verschlüsselung von m c mit k c SV(e(, )) ergibt ist die Annahme bestätigt und wird zum Wissen hinzugefügt ergibt sie nicht SV(e(, )) so ist die Annahme zurückgewiesen

16 Schleißen aus dem Abschluß des Glaubenszustands Menge der Glaubenszustände zu einem Wissenszustand kann in endlich viele Äquivalentsklassen geteilt werden Relation: ihre Instanzen haben den selben crypto-part

17 Zusammenfassung haben zwei Elemente der free-algebra das selbe Bild in der crypto-algebra so müssen sie unifizierbar sein, wenn nicht: - Fehler im gesehene Teil (inkonsistenter Wissenszustand) - Annahme ist falsch haben zwei unifizierbare Elemente der free- algebra verschiedene Bilder in der crypto- algebra so sind sie kontra-unifizierbar

18 zurück zum Beispiel Wissenszustände von A sind konsistent B hat nach dem ersten Schritt eine unendliche Anzahl von Glaubenzuständen durch die möglichen Instanzen von em 1 *, em 2 * und unendliche Anzahl von Äquivalenzklassen abhängig von der Instanzierung von B kann endliche Anzahl von Instanzen für wählen –wählt richtig (sein Wissenszustand entspricht dem nach dem dritten Schritt) –wählt falsch (Annahmen werden verworfen) –constraints sind nicht leer, also sind Wissenszustände von B konsistent

19 zurück zum Beispiel coin-flip ist nur sicher, wenn B den Wert von nicht instanzieren kann Wahrscheinlichkeit liegt bei Null (formalisiert durch ein Wahrscheinlichkeitsmaß) im 3. Schritt schließt B Inkonsistentheit aus, in dem er seien gesehenen Teil analysiert und versucht em 1 * und em 2 * mit e(k,T) und e(k,H) zu unifizieren


Herunterladen ppt "Analyse kryptographischer Protokolle mittels Algebren basierend auf den Arbeiten von M.J. Merrit Marie-Jeanne Toussaint."

Ähnliche Präsentationen


Google-Anzeigen