Sicherheitsbeweise für zertifikatlose Public-Key Schemata Ewan Fleischmann Kryptowochenende 2006 01/02. Juli 2006

Ziele der Diplomarbeit Thema: Im Standardmodell beweisbar sichere Public-Key Kryptographie Ziele: Suchen nach einfacher zu beschreibendem, aber äquivalentem, Angriffsmodell Problematik der Sicherheitsbeweise im Standardmodell Generische Konstruktionsmethoden für zertifikatlose Kryptosysteme Konstruktion eines konkreten, im Standardmodell sicheren Systems Ewan Fleischmann Zertifikatlose Public-Key Kryptographie

Agenda Grundlagen Zertifikatlose Public-Key Kryptographie Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Agenda Grundlagen Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften Zertifikatlose Public-Key Kryptographie Kommunikationsmodell Aufbau Angriffsmodell Sicherheit im Standardmodell Grundsätzliche Problematik Folgerungen & Lösungsmöglichkeiten Generische Konstruktionsmechanismen Ewan Fleischmann Zertifikatlose Public-Key Kryptographie

Zertifizierungsstelle Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Zertifikatbasierte Public-Key Kryptographie Public-Key Cert = Sign(pk,id) Zertifizierungsstelle Schlüsselverzeichnis CertBob CertBob … Vertrauen (funktional) Public-Key pk Vertrauen (funktional) pk SK Alice Bob

Grundlagen Zertifikatbasierte Public-Key Kryptographie Nachteile: Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Zertifikatbasierte Public-Key Kryptographie Nachteile: Public-Key Infrastruktur muss vorhanden sein (Zertifizierungsstellen, Rückruf von Zertifikaten, …) Sender obliegt die Überprüfung des Zertifikates (bei Low-End mobilen Geräten eventuell zu aufwändig) Idee (1985, Shamir): Sender kann sich zu beliebigem Empfänger den öffentlichen Schlüssel selbst bestimmen!  Keine Public-Key Infrastruktur mehr nötig

Private-Key-Generator (PKG) Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Identitätsbasierte Public-Key Kryptographie Public-Key Private-Key-Generator (PKG) sk Vertrauen (bedingungslos) Vertrauen (bedingungslos) Private-Key-Extract sk bob@company.com Berechnung… PKBob Alice Bob

Grundlagen Identitätsbasierte Public-Key Kryptographie Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Identitätsbasierte Public-Key Kryptographie Ein IBE-Verschlüsselungsschema besteht aus vier randomisierten Algorithmen: Setup(k): Systemparameter und Schlüsselerzeugung geheimer Masterschlüsse masterkey Private-Key-Extract(ID): Erzeugung des privaten Schlüssels einer Identität Encrypt(m, ID): Verschlüsselt eine Nachricht m für eine Identität Decrypt(sk,c): Entschlüsselt eine Nachticht c mit dem durch Private-Key-Extract erhaltenen privaten Schlüssel sk.

Öffentlicher Schlüssel des PKG Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen - IBE Private-Key-Extract( ID) Decrypt( ID, C ) Probleminstanz Setup Solver Angreifer KeyGen Angriffsphase I Öffentlicher Schlüssel des PKG Sim1 A1 Orakelanfragen Challenge ID, m0, m1 Challenge- Creator Encrypt(mb,ID) Angriffsphase II Sim2 A2 Orakelanfragen Ratephase Lösung

Grundlagen Identitätsbasierte Public-Key Kryptographie Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Identitätsbasierte Public-Key Kryptographie Zentraler Nachteil: Der Private-Key Generator kann sich die privaten Schlüssel zu jedem Nutzer erzeugen Ein erstes praktikables IBE-Verschlüsselungsschema wurde erst im Jahr 2001 von Boneh & Franklin vorgestellt (basierend auf Paarungen). Idee (2003, Al-Riyami) Entwicklung von Verschlüsselungsverfahren mit den gemeinsamen Vorteilen von CBE (keine Schlüsselhinterlegung) und IBE (keine PKI nötig).

Key-Generation-Center (KGC) Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Zertifikatlose Public-Key Kryptographie Public-Key Key-Generation-Center (KGC) SKKGC Schlüsselverzeichnis … PKBob PKBob PK Partial-Private-Key-Extract Vertrauen (funktional) Vertrauen (funktional) bob@company.com Berechnung… PKKGC SK SKBob Alice Bob

Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Definition CLE Ein CLE-Verschlüsselungsschema besteht aus sieben randomisierten Algorithmen: (1) Setup(k): Systemparameter und Schlüsselerzeugung geheimer Masterschlüssel masterkey (2) Partial-Private-Key-Extract(ID): Erzeugung des privaten Schlüssels einer Identität (3) Encrypt(m, pk): Verschlüsselt eine Nachricht m für eine Identität (4) Decrypt(sk,c): Entschlüsselt eine Nachticht c mit dem durch Private-Key-Extract erhaltenen privaten Schlüssel sk.

Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Definition CLE (2) Ein CLE-Verschlüsselungsschema besteht aus sieben randomisierten Algorithmen: (5) Set-Secret-Value(ID): Benutzer: privates Geheimnis x auswählen (6) Set-Public-Key(x): Benutzer: eigenen öffentlichen Schlüssel berechnen (basiert nur auf dem privaten Geheimnis) (7) Set-Secret-Key(x,Partial-Private-Key-Extract[ID]): Benutzer: eignen (vollständigen) privaten Schlüssel berechnen

Angriffsszenarien 2 mögliche Angriffsszenarien: Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Angriffsszenarien 2 mögliche Angriffsszenarien: (1) Eine böswillige dritte (externe) Partei darf die Sicherheit nicht kompromittieren können (2) Ein bösartiges KGC aber auch nicht! (…im Gegensatz zur IBE) (diese kennt den masterkey) Zwei verschiedene Angreifer AI und AII mit verschiedene Fähigkeiten müssen modelliert werden Definition: Ein CLE-System heißt sicher, wenn es sowohl gegenüber einem Angreifer AI als auch gegenüber einem Angreifer AII sicher ist.

Öffentlicher Schlüssel des KGC Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Angriffsmodell Private-Key-Extract ( ID, PK ) Partial-Private-Key-Extract ( ID ) Request-Public-Key( ID ) Decrypt( ID, PK, C ) Probleminstanz Setup Solver Angreifer KeyGen Angriffsphase I Öffentlicher Schlüssel des KGC Sim1 A1 Orakelanfragen Challenge PK, ID, m0, m1 Challenge- Creator Encrypt(mb,ID) Angriffsphase II Sim2 A2 Orakelanfragen Ratephase Lösung

2 mögliche Typen von Angreifern Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell 2 mögliche Typen von Angreifern TYP I: AI („externer“ Angreifer, keinen Zugriff auf masterkey des KGC) Zugriff auf alle Orakelanfragen, „übliche Einschränkungen“ TYP II: AII („interner“ Angreifer, Zugriff auf masterkey des KGC) Zugriff auf alle Orakelanfragen, „übliche Einschränkungen“ Kann mit masterkey den KGC-Anteil des Schlüssels bestimmen  Einschränkung: kann öffentliche Schlüssel im Schlüsselverzeichnis nicht austauschen

Grundsätzliche Problematik Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Grundsätzliche Problematik Aktuelle Situation: es existieren Schemas mit Sicherheitsbeweisen im Zufallsorakelmodell (Al-Riyami u.a.) Prolematisch: Black-Box Beweise Kern des Problems: „Schema sicher gegen Typ I  Schema unsicher gegen Typ II“ (Typ I Entschlüsselungs-Simulator ist Typ II Angreifer)

Konstruktion des Typ I – Angreifers AI Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Konstruktion des Typ I – Angreifers AI Erhalte öffentlichen Schlüssel PKKGC des KGC Wähle Identität ID, wähle zufälligen geheimen Wert xID sowie einen öffentlichen Schlüssel PKID Wähle zwei Nachrichten m0 und m1 Verschlüssele mb (b zufällig) unter ID, PKKGC und PKID  erhalte C Entschlüssle C mit Entschlüsselungsorakel Gebe (ID, PKID, m0, m1) aus Angreifer „weiß“ was der Simulator ihm auf die Entschlüsselungsanfrage antworten muss (mb) Nutze diese Eigenschaft um einen Typ-II Angreifer zu konstruieren

Konstruktion des Typ II – Angreifers AII Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Konstruktion des Typ II – Angreifers AII A1II Erhalte öffentlichen Schlüssel PKKGC und privaten Schlüssel SKKGC des KGC Wähle Identität ID Wähle zwei unterschiedliche Nachrichten m0 und m1, gebe sie und ID aus A2II Erhalte Challenge Chiffretext C* Frage PKID ab Initialisiere Sim1 (mit PKKGC und SKKGC) und nutze Entschlüsselungsorakel zum Entschlüsseln von C* Angreifer II mit überwältigender Wahrscheinlichkeit erfolgreich

Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Problematik Angreifer I kann mehr (Entschlüsselung nach Austausch des öffentlichen Schlüssels) als Angreifer II.  Eigentlich unrealistische Annahme Grundsätzliche Prolematik oder nur beweistechnische Problematik?  Vermutlich nur Beweistechnische Problematik – keine Grundsätzliche („Observational/Black-Box Proofs“) [Dent/Kudla, 2005] Verschiedene „Lösungsmöglichkeiten“…

Vorschläge [Dent/Kudla, 2005] Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Lösungsansätze Vorschläge [Dent/Kudla, 2005] Abschwächung des Angriffsmodells (Keine Entschlüsslungsanfragen zu ausgetauschten Schlüsseln, „unrealistische Annahme“) Sim1 umkonstruieren (z.B. zusätzliche Initialparameter) damit AII ihn nicht nutzen kann Andere Beweistechniken versuchen (Game hopping, neue entwickeln, …) Black-Box des Angreifers öffnen, (nicht so, dass die Nachteile des Zufallsorakelmodells entstehen)

Generische Konstruktionsmethoden Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Generische Konstruktionsmethoden Idee: Konstruktion eines zertifikatlosen Kryptosystems aus einem identitätsbasierten und einem PK Kryptosystem Sei f die Verschlüsselungsfunktion eines IBE-Schemas, g die Verschlüsselungsfunktion eines PK Schemas. Sei m eine Nachricht. (1) Dann ist die Verschlüsselungsfunktion h = f(g(m)) die Verschlüsselungsfunktion eines CL-Schemas. (2) Sei x zufällig gewählt. x‘ = x+m, „+“ geeignet, dann ist die Verschlüsselungsfunktion die Verschlüsselungsfunktion eines CL-Schemas. Satz: Seien f ein IND-ID-CCA2 sicheres IBE-Schema und g ein ID-CCA2 sicheres PK-Schema. Dann sind h und h‘ die Verschlüsselungfunktion eines IND-CL-CCA2 sicheren CLE-Schemas.

E N D E  Ewan Fleischmann Zertifikatlose Public-Key Kryptographie