Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Ewan FleischmannZertifikatlose Public-Key Kryptographie Sicherheitsbeweise für zertifikatlose Public-Key Schemata Ewan Fleischmann Kryptowochenende 2006.

Ähnliche Präsentationen


Präsentation zum Thema: "Ewan FleischmannZertifikatlose Public-Key Kryptographie Sicherheitsbeweise für zertifikatlose Public-Key Schemata Ewan Fleischmann Kryptowochenende 2006."—  Präsentation transkript:

1 Ewan FleischmannZertifikatlose Public-Key Kryptographie Sicherheitsbeweise für zertifikatlose Public-Key Schemata Ewan Fleischmann Kryptowochenende /02. Juli 2006

2 Ewan FleischmannZertifikatlose Public-Key KryptographieEwan FleischmannZertifikatlose Public-Key Kryptographie Ziele der Diplomarbeit Thema: Im Standardmodell beweisbar sichere Public-Key Kryptographie Ziele: Suchen nach einfacher zu beschreibendem, aber äquivalentem, Angriffsmodell Problematik der Sicherheitsbeweise im Standardmodell Generische Konstruktionsmethoden für zertifikatlose Kryptosysteme Konstruktion eines konkreten, im Standardmodell sicheren Systems

3 Ewan FleischmannZertifikatlose Public-Key KryptographieEwan FleischmannZertifikatlose Public-Key Kryptographie Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Agenda Grundlagen Zertifikatlose Public-Key Kryptographie Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften Kommunikationsmodell Aufbau Angriffsmodell Grundsätzliche Problematik Folgerungen & Lösungsmöglichkeiten Generische Konstruktionsmechanismen

4 Ewan FleischmannZertifikatlose Public-Key Kryptographie Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Zertifikatbasierte Public-Key Kryptographie AliceBob Zertifizierungsstelle Schlüsselverzeichnis Public-Key pk pk Cert = Sign(pk,id) Cert Bob … SK Vertrauen (funktional) Public-Key

5 Ewan FleischmannZertifikatlose Public-Key Kryptographie Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Zertifikatbasierte Public-Key Kryptographie Nachteile: Public-Key Infrastruktur muss vorhanden sein (Zertifizierungsstellen, Rückruf von Zertifikaten, …) Sender obliegt die Überprüfung des Zertifikates (bei Low-End mobilen Geräten eventuell zu aufwändig) Idee (1985, Shamir): Sender kann sich zu beliebigem Empfänger den öffentlichen Schlüssel selbst bestimmen! Keine Public-Key Infrastruktur mehr nötig

6 Ewan FleischmannZertifikatlose Public-Key Kryptographie Berechnung… Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Identitätsbasierte Public-Key Kryptographie Alice Bob Private-Key-Generator (PKG) Vertrauen (bedingungslos) Public-Key PK Bob sk Private-Key-Extract sk

7 Ewan FleischmannZertifikatlose Public-Key Kryptographie Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Identitätsbasierte Public-Key Kryptographie Ein IBE-Verschlüsselungsschema besteht aus vier randomisierten Algorithmen: Setup(k): Systemparameter und Schlüsselerzeugung geheimer Masterschlüsse masterkey Private-Key-Extract(ID): Erzeugung des privaten Schlüssels einer Identität Encrypt(m, ID): Verschlüsselt eine Nachricht m für eine Identität Decrypt(sk,c): Entschlüsselt eine Nachticht c mit dem durch Private-Key-Extract erhaltenen privaten Schlüssel sk.

8 Ewan FleischmannZertifikatlose Public-Key Kryptographie Solver Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen - IBE KeyGen Sim 1 Challenge- Creator Sim 2 Angreifer A1A1 A2A2 Öffentlicher Schlüssel des PKG Orakelanfragen ID, m 0, m 1 Encrypt(m b,ID) Probleminstanz Lösung Setup Angriffsphase I Challenge Angriffsphase II Ratephase Private-Key-Extract( ID) Decrypt( ID, C )

9 Ewan FleischmannZertifikatlose Public-Key Kryptographie Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Identitätsbasierte Public-Key Kryptographie Zentraler Nachteil: Der Private-Key Generator kann sich die privaten Schlüssel zu jedem Nutzer erzeugen Ein erstes praktikables IBE-Verschlüsselungsschema wurde erst im Jahr 2001 von Boneh & Franklin vorgestellt (basierend auf Paarungen). Idee (2003, Al-Riyami) Entwicklung von Verschlüsselungsverfahren mit den gemeinsamen Vorteilen von CBE (keine Schlüsselhinterlegung) und IBE (keine PKI nötig).

10 Ewan FleischmannZertifikatlose Public-Key Kryptographie SK PK Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Zertifikatlose Public-Key Kryptographie Berechnung… Alice Bob Key-Generation-Center (KGC) Vertrauen (funktional) Public-Key PK KGC Schlüsselverzeichnis … PK Bob … PK Bob SK Bob Partial-Private-Key-Extract SK KGC

11 Ewan FleischmannZertifikatlose Public-Key Kryptographie Definition CLE Ein CLE-Verschlüsselungsschema besteht aus sieben randomisierten Algorithmen: (1) Setup(k): Systemparameter und Schlüsselerzeugung geheimer Masterschlüssel masterkey (2) Partial-Private-Key-Extract(ID): Erzeugung des privaten Schlüssels einer Identität (3) Encrypt(m, pk): Verschlüsselt eine Nachricht m für eine Identität (4) Decrypt(sk,c): Entschlüsselt eine Nachticht c mit dem durch Private-Key-Extract erhaltenen privaten Schlüssel sk. Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell

12 Ewan FleischmannZertifikatlose Public-Key Kryptographie Definition CLE (2) Ein CLE-Verschlüsselungsschema besteht aus sieben randomisierten Algorithmen: Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell (5) Set-Secret-Value(ID): Benutzer: privates Geheimnis x auswählen (6) Set-Public-Key(x): Benutzer: eigenen öffentlichen Schlüssel berechnen (basiert nur auf dem privaten Geheimnis) (7) Set-Secret-Key(x,Partial-Private-Key-Extract[ID]): Benutzer: eignen (vollständigen) privaten Schlüssel berechnen

13 Ewan FleischmannZertifikatlose Public-Key Kryptographie Angriffsszenarien 2 mögliche Angriffsszenarien: Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell (1) Eine böswillige dritte (externe) Partei darf die Sicherheit nicht kompromittieren können (2) Ein bösartiges KGC aber auch nicht! (…im Gegensatz zur IBE) (diese kennt den masterkey) Zwei verschiedene Angreifer A I und A II mit verschiedene Fähigkeiten müssen modelliert werden Definition: Ein CLE-System heißt sicher, wenn es sowohl gegenüber einem Angreifer A I als auch gegenüber einem Angreifer A II sicher ist.

14 Ewan FleischmannZertifikatlose Public-Key Kryptographie Angriffsmodell Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Solver KeyGen Sim 1 Challenge- Creator Sim 2 Angreifer A1A1 A2A2 Öffentlicher Schlüssel des KGC Orakelanfragen PK, ID, m 0, m 1 Encrypt(m b,ID) Probleminstanz Lösung Setup Angriffsphase I Challenge Angriffsphase II Ratephase Private-Key-Extract ( ID, PK ) Partial-Private-Key-Extract ( ID ) Request-Public-Key( ID ) Decrypt( ID, PK, C )

15 Ewan FleischmannZertifikatlose Public-Key Kryptographie 2 mögliche Typen von Angreifern Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell TYP I: A I (externer Angreifer, keinen Zugriff auf masterkey des KGC) TYP II: A II (interner Angreifer, Zugriff auf masterkey des KGC) Zugriff auf alle Orakelanfragen, übliche Einschränkungen Kann mit masterkey den KGC-Anteil des Schlüssels bestimmen Einschränkung: kann öffentliche Schlüssel im Schlüsselverzeichnis nicht austauschen

16 Ewan FleischmannZertifikatlose Public-Key Kryptographie Grundsätzliche Problematik Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Aktuelle Situation: es existieren Schemas mit Sicherheitsbeweisen im Zufallsorakelmodell (Al-Riyami u.a.) Prolematisch: Black-Box Beweise Kern des Problems: Schema sicher gegen Typ I Schema unsicher gegen Typ II (Typ I Entschlüsselungs-Simulator ist Typ II Angreifer)

17 Ewan FleischmannZertifikatlose Public-Key Kryptographie Konstruktion des Typ I – Angreifers A I Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze 1.Erhalte öffentlichen Schlüssel PK KGC des KGC 2.Wähle Identität ID, wähle zufälligen geheimen Wert x ID sowie einen öffentlichen Schlüssel PK ID 3.Wähle zwei Nachrichten m 0 und m 1 4.Verschlüssele m b (b zufällig) unter ID, PK KGC und PK ID erhalte C 5.Entschlüssle C mit Entschlüsselungsorakel 6.Gebe (ID, PK ID, m 0, m 1 ) aus Angreifer weiß was der Simulator ihm auf die Entschlüsselungsanfrage antworten muss (m b ) Nutze diese Eigenschaft um einen Typ-II Angreifer zu konstruieren

18 Ewan FleischmannZertifikatlose Public-Key Kryptographie Konstruktion des Typ II – Angreifers A II Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze 1.Erhalte öffentlichen Schlüssel PK KGC und privaten Schlüssel SK KGC des KGC 2.Wähle Identität ID 3.Wähle zwei unterschiedliche Nachrichten m 0 und m 1, gebe sie und ID aus A 1 II 1.Erhalte Challenge Chiffretext C* 2.Frage PK ID ab 3.Initialisiere Sim 1 (mit PK KGC und SK KGC ) und nutze Entschlüsselungsorakel zum Entschlüsseln von C* A 2 II Angreifer II mit überwältigender Wahrscheinlichkeit erfolgreich

19 Ewan FleischmannZertifikatlose Public-Key Kryptographie Problematik Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Angreifer I kann mehr (Entschlüsselung nach Austausch des öffentlichen Schlüssels) als Angreifer II. Eigentlich unrealistische Annahme Verschiedene Lösungsmöglichkeiten… Grundsätzliche Prolematik oder nur beweistechnische Problematik? Vermutlich nur Beweistechnische Problematik – keine Grundsätzliche (Observational/Black-Box Proofs) [Dent/Kudla, 2005]

20 Ewan FleischmannZertifikatlose Public-Key Kryptographie Lösungsansätze Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Vorschläge [Dent/Kudla, 2005] Abschwächung des Angriffsmodells (Keine Entschlüsslungsanfragen zu ausgetauschten Schlüsseln, unrealistische Annahme) Sim 1 umkonstruieren (z.B. zusätzliche Initialparameter) damit AII ihn nicht nutzen kann Andere Beweistechniken versuchen (Game hopping, neue entwickeln, …) Black-Box des Angreifers öffnen, (nicht so, dass die Nachteile des Zufallsorakelmodells entstehen)

21 Ewan FleischmannZertifikatlose Public-Key Kryptographie Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Generische Konstruktionsmethoden Idee: Konstruktion eines zertifikatlosen Kryptosystems aus einem identitätsbasierten und einem PK Kryptosystem Sei f die Verschlüsselungsfunktion eines IBE-Schemas, g die Verschlüsselungsfunktion eines PK Schemas. Sei m eine Nachricht. (1) Dann ist die Verschlüsselungsfunktion h = f(g( m )) die Verschlüsselungsfunktion eines CL-Schemas. (2) Sei x zufällig gewählt. x = x+m, + geeignet, dann ist die Verschlüsselungsfunktion die Verschlüsselungsfunktion eines CL-Schemas. Satz: Seien f ein IND-ID-CCA2 sicheres IBE-Schema und g ein ID-CCA2 sicheres PK-Schema. Dann sind h und h die Verschlüsselungfunktion eines IND-CL-CCA2 sicheren CLE-Schemas.

22 Ewan FleischmannZertifikatlose Public-Key KryptographieEwan Fleischmann E N D E Zertifikatlose Public-Key Kryptographie


Herunterladen ppt "Ewan FleischmannZertifikatlose Public-Key Kryptographie Sicherheitsbeweise für zertifikatlose Public-Key Schemata Ewan Fleischmann Kryptowochenende 2006."

Ähnliche Präsentationen


Google-Anzeigen