Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sicherheitsbeweise für zertifikatlose

Veröffentlicht von:Franz Gfeller Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Sicherheitsbeweise für zertifikatlose"—  Präsentation transkript:

1 Sicherheitsbeweise für zertifikatlose
Public-Key Schemata Ewan Fleischmann Kryptowochenende 2006 01/02. Juli 2006

2 Ziele der Diplomarbeit
Thema: Im Standardmodell beweisbar sichere Public-Key Kryptographie Ziele: Suchen nach einfacher zu beschreibendem, aber äquivalentem, Angriffsmodell Problematik der Sicherheitsbeweise im Standardmodell Generische Konstruktionsmethoden für zertifikatlose Kryptosysteme Konstruktion eines konkreten, im Standardmodell sicheren Systems Ewan Fleischmann Zertifikatlose Public-Key Kryptographie

3 Agenda Grundlagen Zertifikatlose Public-Key Kryptographie
Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Agenda Grundlagen Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften Zertifikatlose Public-Key Kryptographie Kommunikationsmodell Aufbau Angriffsmodell Sicherheit im Standardmodell Grundsätzliche Problematik Folgerungen & Lösungsmöglichkeiten Generische Konstruktionsmechanismen Ewan Fleischmann Zertifikatlose Public-Key Kryptographie

4 Zertifizierungsstelle
Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Zertifikatbasierte Public-Key Kryptographie Public-Key Cert = Sign(pk,id) Zertifizierungsstelle Schlüsselverzeichnis CertBob CertBob Vertrauen (funktional) Public-Key pk Vertrauen (funktional) pk SK Alice Bob

5 Grundlagen Zertifikatbasierte Public-Key Kryptographie Nachteile:
Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Zertifikatbasierte Public-Key Kryptographie Nachteile: Public-Key Infrastruktur muss vorhanden sein (Zertifizierungsstellen, Rückruf von Zertifikaten, …) Sender obliegt die Überprüfung des Zertifikates (bei Low-End mobilen Geräten eventuell zu aufwändig) Idee (1985, Shamir): Sender kann sich zu beliebigem Empfänger den öffentlichen Schlüssel selbst bestimmen!  Keine Public-Key Infrastruktur mehr nötig

6 Private-Key-Generator (PKG)
Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Identitätsbasierte Public-Key Kryptographie Public-Key Private-Key-Generator (PKG) sk Vertrauen (bedingungslos) Vertrauen (bedingungslos) Private-Key-Extract sk Berechnung… PKBob Alice Bob

7 Grundlagen Identitätsbasierte Public-Key Kryptographie
Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Identitätsbasierte Public-Key Kryptographie Ein IBE-Verschlüsselungsschema besteht aus vier randomisierten Algorithmen: Setup(k): Systemparameter und Schlüsselerzeugung geheimer Masterschlüsse masterkey Private-Key-Extract(ID): Erzeugung des privaten Schlüssels einer Identität Encrypt(m, ID): Verschlüsselt eine Nachricht m für eine Identität Decrypt(sk,c): Entschlüsselt eine Nachticht c mit dem durch Private-Key-Extract erhaltenen privaten Schlüssel sk.

8 Öffentlicher Schlüssel des PKG
Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen - IBE Private-Key-Extract( ID) Decrypt( ID, C ) Probleminstanz Setup Solver Angreifer KeyGen Angriffsphase I Öffentlicher Schlüssel des PKG Sim1 A1 Orakelanfragen Challenge ID, m0, m1 Challenge- Creator Encrypt(mb,ID) Angriffsphase II Sim2 A2 Orakelanfragen Ratephase Lösung

9 Grundlagen Identitätsbasierte Public-Key Kryptographie
Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Identitätsbasierte Public-Key Kryptographie Zentraler Nachteil: Der Private-Key Generator kann sich die privaten Schlüssel zu jedem Nutzer erzeugen Ein erstes praktikables IBE-Verschlüsselungsschema wurde erst im Jahr 2001 von Boneh & Franklin vorgestellt (basierend auf Paarungen). Idee (2003, Al-Riyami) Entwicklung von Verschlüsselungsverfahren mit den gemeinsamen Vorteilen von CBE (keine Schlüsselhinterlegung) und IBE (keine PKI nötig).

10 Key-Generation-Center (KGC)
Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Zertifikatlose Public-Key Kryptographie Public-Key Key-Generation-Center (KGC) SKKGC Schlüsselverzeichnis PKBob PKBob PK Partial-Private-Key-Extract Vertrauen (funktional) Vertrauen (funktional) Berechnung… PKKGC SK SKBob Alice Bob

11 Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Definition CLE Ein CLE-Verschlüsselungsschema besteht aus sieben randomisierten Algorithmen: (1) Setup(k): Systemparameter und Schlüsselerzeugung geheimer Masterschlüssel masterkey (2) Partial-Private-Key-Extract(ID): Erzeugung des privaten Schlüssels einer Identität (3) Encrypt(m, pk): Verschlüsselt eine Nachricht m für eine Identität (4) Decrypt(sk,c): Entschlüsselt eine Nachticht c mit dem durch Private-Key-Extract erhaltenen privaten Schlüssel sk.

12 Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Definition CLE (2) Ein CLE-Verschlüsselungsschema besteht aus sieben randomisierten Algorithmen: (5) Set-Secret-Value(ID): Benutzer: privates Geheimnis x auswählen (6) Set-Public-Key(x): Benutzer: eigenen öffentlichen Schlüssel berechnen (basiert nur auf dem privaten Geheimnis) (7) Set-Secret-Key(x,Partial-Private-Key-Extract[ID]): Benutzer: eignen (vollständigen) privaten Schlüssel berechnen

13 Angriffsszenarien 2 mögliche Angriffsszenarien:
Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Angriffsszenarien 2 mögliche Angriffsszenarien: (1) Eine böswillige dritte (externe) Partei darf die Sicherheit nicht kompromittieren können (2) Ein bösartiges KGC aber auch nicht! (…im Gegensatz zur IBE) (diese kennt den masterkey) Zwei verschiedene Angreifer AI und AII mit verschiedene Fähigkeiten müssen modelliert werden Definition: Ein CLE-System heißt sicher, wenn es sowohl gegenüber einem Angreifer AI als auch gegenüber einem Angreifer AII sicher ist.

14 Öffentlicher Schlüssel des KGC
Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Angriffsmodell Private-Key-Extract ( ID, PK ) Partial-Private-Key-Extract ( ID ) Request-Public-Key( ID ) Decrypt( ID, PK, C ) Probleminstanz Setup Solver Angreifer KeyGen Angriffsphase I Öffentlicher Schlüssel des KGC Sim1 A1 Orakelanfragen Challenge PK, ID, m0, m1 Challenge- Creator Encrypt(mb,ID) Angriffsphase II Sim2 A2 Orakelanfragen Ratephase Lösung

15 2 mögliche Typen von Angreifern
Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell 2 mögliche Typen von Angreifern TYP I: AI („externer“ Angreifer, keinen Zugriff auf masterkey des KGC) Zugriff auf alle Orakelanfragen, „übliche Einschränkungen“ TYP II: AII („interner“ Angreifer, Zugriff auf masterkey des KGC) Zugriff auf alle Orakelanfragen, „übliche Einschränkungen“ Kann mit masterkey den KGC-Anteil des Schlüssels bestimmen  Einschränkung: kann öffentliche Schlüssel im Schlüsselverzeichnis nicht austauschen

16 Grundsätzliche Problematik
Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Grundsätzliche Problematik Aktuelle Situation: es existieren Schemas mit Sicherheitsbeweisen im Zufallsorakelmodell (Al-Riyami u.a.) Prolematisch: Black-Box Beweise Kern des Problems: „Schema sicher gegen Typ I  Schema unsicher gegen Typ II“ (Typ I Entschlüsselungs-Simulator ist Typ II Angreifer)

17 Konstruktion des Typ I – Angreifers AI
Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Konstruktion des Typ I – Angreifers AI Erhalte öffentlichen Schlüssel PKKGC des KGC Wähle Identität ID, wähle zufälligen geheimen Wert xID sowie einen öffentlichen Schlüssel PKID Wähle zwei Nachrichten m0 und m1 Verschlüssele mb (b zufällig) unter ID, PKKGC und PKID  erhalte C Entschlüssle C mit Entschlüsselungsorakel Gebe (ID, PKID, m0, m1) aus Angreifer „weiß“ was der Simulator ihm auf die Entschlüsselungsanfrage antworten muss (mb) Nutze diese Eigenschaft um einen Typ-II Angreifer zu konstruieren

18 Konstruktion des Typ II – Angreifers AII
Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Konstruktion des Typ II – Angreifers AII A1II Erhalte öffentlichen Schlüssel PKKGC und privaten Schlüssel SKKGC des KGC Wähle Identität ID Wähle zwei unterschiedliche Nachrichten m0 und m1, gebe sie und ID aus A2II Erhalte Challenge Chiffretext C* Frage PKID ab Initialisiere Sim1 (mit PKKGC und SKKGC) und nutze Entschlüsselungsorakel zum Entschlüsseln von C* Angreifer II mit überwältigender Wahrscheinlichkeit erfolgreich

19 Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Problematik Angreifer I kann mehr (Entschlüsselung nach Austausch des öffentlichen Schlüssels) als Angreifer II.  Eigentlich unrealistische Annahme Grundsätzliche Prolematik oder nur beweistechnische Problematik?  Vermutlich nur Beweistechnische Problematik – keine Grundsätzliche („Observational/Black-Box Proofs“) [Dent/Kudla, 2005] Verschiedene „Lösungsmöglichkeiten“…

20 Vorschläge [Dent/Kudla, 2005]
Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Lösungsansätze Vorschläge [Dent/Kudla, 2005] Abschwächung des Angriffsmodells (Keine Entschlüsslungsanfragen zu ausgetauschten Schlüsseln, „unrealistische Annahme“) Sim1 umkonstruieren (z.B. zusätzliche Initialparameter) damit AII ihn nicht nutzen kann Andere Beweistechniken versuchen (Game hopping, neue entwickeln, …) Black-Box des Angreifers öffnen, (nicht so, dass die Nachteile des Zufallsorakelmodells entstehen)

21 Generische Konstruktionsmethoden
Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Generische Konstruktionsmethoden Idee: Konstruktion eines zertifikatlosen Kryptosystems aus einem identitätsbasierten und einem PK Kryptosystem Sei f die Verschlüsselungsfunktion eines IBE-Schemas, g die Verschlüsselungsfunktion eines PK Schemas. Sei m eine Nachricht. (1) Dann ist die Verschlüsselungsfunktion h = f(g(m)) die Verschlüsselungsfunktion eines CL-Schemas. (2) Sei x zufällig gewählt. x‘ = x+m, „+“ geeignet, dann ist die Verschlüsselungsfunktion die Verschlüsselungsfunktion eines CL-Schemas. Satz: Seien f ein IND-ID-CCA2 sicheres IBE-Schema und g ein ID-CCA2 sicheres PK-Schema. Dann sind h und h‘ die Verschlüsselungfunktion eines IND-CL-CCA2 sicheren CLE-Schemas.

22 E N D E  Ewan Fleischmann Zertifikatlose Public-Key Kryptographie

Herunterladen ppt "Sicherheitsbeweise für zertifikatlose"

Ähnliche Präsentationen

Inxmail GmbH Vertrieb und Pflege des Marketing Tools.

Inxmail GmbH Vertrieb und Pflege des Marketing Tools.
Mündliche Fachprüfung

Mündliche Fachprüfung
Fachhochschule Südwestfalen

Fachhochschule Südwestfalen
Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.

Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.
Internet-Sicherheit (2)

Internet-Sicherheit (2)
Asymmetrische Kryptographie

Asymmetrische Kryptographie
SS 2007 FG Datenbanken – Interaktive Systeme, Fachbereich 17 Praktische Informatik Prof. Dr. Lutz Wegner Elektronische Signatur Waldemar Wiegel Sommer.

SS 2007 FG Datenbanken – Interaktive Systeme, Fachbereich 17 Praktische Informatik Prof. Dr. Lutz Wegner Elektronische Signatur Waldemar Wiegel Sommer.
HANDYGMA - kein Geheimnis -

HANDYGMA - kein Geheimnis -
Analyse kryptographischer Protokolle mittels Algebren

Analyse kryptographischer Protokolle mittels Algebren
Prof. Dr. W. Conen 15. November 2004

Prof. Dr. W. Conen 15. November 2004
Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon

Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon
Grundlagen der Kryptologie

Grundlagen der Kryptologie
Kryptographische Hash-Funktionen

Kryptographische Hash-Funktionen
Zahlentheorie Algebra und Kryptografie

Zahlentheorie Algebra und Kryptografie
SciAgents - Eine agentenbasierte Umgebung für verteilte wissenschaftliche Berechnungen Alexander StarkeSeminar Software Agenten09.01.2001.

SciAgents - Eine agentenbasierte Umgebung für verteilte wissenschaftliche Berechnungen Alexander StarkeSeminar Software Agenten
Algorithmentheorie 04 –Hashing

Algorithmentheorie 04 –Hashing
Vorlesung Informatik 2 Algorithmen und Datenstrukturen (15 Hashverfahren: Verkettung der Überläufer) Prof. Th. Ottmann.

Vorlesung Informatik 2 Algorithmen und Datenstrukturen (15 Hashverfahren: Verkettung der Überläufer) Prof. Th. Ottmann.
Symmetrische und Asymmetrische Verschlüsselung Habilitationsvortrag

Symmetrische und Asymmetrische Verschlüsselung Habilitationsvortrag
Systemsicherheit I Übung 5 André Adelsbach Chair for Network- and Data-Security Horst Görtz Institute Bochum, Germany.

Systemsicherheit I Übung 5 André Adelsbach Chair for Network- and Data-Security Horst Görtz Institute Bochum, Germany.
Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur.

Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur.

Ähnliche Präsentationen

Google-Anzeigen