1 / 22

Sicherheitsbeweise für zertifikatlose Public-Key Schemata

Sicherheitsbeweise für zertifikatlose Public-Key Schemata. Ewan Fleischmann Kryptowochenende 2006 01/02. Juli 2006. Ziele der Diplomarbeit. Thema : Im Standardmodell beweisbar sichere Public-Key Kryptographie Ziele :

mallorie
Download Presentation

Sicherheitsbeweise für zertifikatlose Public-Key Schemata

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sicherheitsbeweise für zertifikatlose Public-Key Schemata Ewan Fleischmann Kryptowochenende 2006 01/02. Juli 2006

  2. Ziele der Diplomarbeit • Thema: • Im Standardmodell beweisbar sichere Public-Key Kryptographie • Ziele: • Suchen nach einfacher zu beschreibendem, aber äquivalentem, Angriffsmodell • Problematik der Sicherheitsbeweise im Standardmodell • Generische Konstruktionsmethoden für zertifikatlose Kryptosysteme • Konstruktion eines konkreten, im Standardmodell sicheren Systems Ewan Fleischmann Zertifikatlose Public-Key Kryptographie

  3. Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Agenda Grundlagen • Zertifikatbasierte Verschlüsselung (CBE) • Identitätsbasierte Verschlüsselung (IBE) • Eigenschaften Zertifikatlose Public-Key Kryptographie • Kommunikationsmodell • Aufbau • Angriffsmodell Sicherheit im Standardmodell • Grundsätzliche Problematik • Folgerungen & Lösungsmöglichkeiten Generische Konstruktionsmechanismen Ewan Fleischmann Zertifikatlose Public-Key Kryptographie

  4. Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Zertifikatbasierte Public-Key Kryptographie Public-Key Cert = Sign(pk,id) Zertifizierungsstelle Schlüsselverzeichnis CertBob CertBob … Public-Key pk Vertrauen (funktional) Vertrauen (funktional) pk SK Alice Bob

  5. Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Zertifikatbasierte Public-Key Kryptographie • Nachteile: • Public-Key Infrastruktur muss vorhanden sein (Zertifizierungsstellen, Rückruf von Zertifikaten, …) • Sender obliegt die Überprüfung des Zertifikates • (bei Low-End mobilen Geräten eventuell zu aufwändig) Idee (1985, Shamir): Sender kann sich zu beliebigem Empfänger den öffentlichen Schlüssel selbst bestimmen!  Keine Public-Key Infrastruktur mehr nötig

  6. Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Identitätsbasierte Public-Key Kryptographie Public-Key Private-Key-Generator (PKG) sk Vertrauen (bedingungslos) Vertrauen (bedingungslos) Private-Key-Extract sk bob@company.com Berechnung… PKBob Alice Bob

  7. Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Identitätsbasierte Public-Key Kryptographie Ein IBE-Verschlüsselungsschema besteht aus vier randomisierten Algorithmen: Setup(k): Systemparameter und Schlüsselerzeugung geheimer Masterschlüsse masterkey Private-Key-Extract(ID): Erzeugung des privaten Schlüssels einer Identität Encrypt(m, ID): Verschlüsselt eine Nachricht m für eine Identität Decrypt(sk,c): Entschlüsselt eine Nachticht c mit dem durch Private-Key-Extract erhaltenen privaten Schlüssel sk.

  8. Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen - IBE Private-Key-Extract( ID)Decrypt( ID, C ) Probleminstanz Setup Solver Angreifer KeyGen Angriffsphase I Öffentlicher Schlüssel des PKG Sim1 A1 Orakelanfragen Challenge ID, m0, m1 Challenge- Creator Encrypt(mb,ID) Angriffsphase II Sim2 A2 Orakelanfragen Ratephase Lösung

  9. Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Identitätsbasierte Public-Key Kryptographie • Zentraler Nachteil: • Der Private-Key Generator kann sich die privaten Schlüssel zu jedem Nutzer erzeugen Ein erstes praktikables IBE-Verschlüsselungsschema wurde erst im Jahr 2001 von Boneh & Franklin vorgestellt (basierend auf Paarungen). Idee (2003, Al-Riyami) Entwicklung von Verschlüsselungsverfahren mit den gemeinsamen Vorteilen von CBE (keine Schlüsselhinterlegung) und IBE (keine PKI nötig).

  10. Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Zertifikatlose Public-Key Kryptographie Public-Key Key-Generation-Center (KGC) SKKGC Schlüsselverzeichnis … PKBob … PKBob Partial-Private-Key-Extract PK Vertrauen (funktional) Vertrauen (funktional) bob@company.com Berechnung… PKKGC SK SKBob Alice Bob

  11. Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Definition CLE Ein CLE-Verschlüsselungsschema besteht aus sieben randomisierten Algorithmen: (1) Setup(k): Systemparameter und Schlüsselerzeugung geheimer Masterschlüssel masterkey (2) Partial-Private-Key-Extract(ID): Erzeugung des privaten Schlüssels einer Identität (3) Encrypt(m, pk): Verschlüsselt eine Nachricht m für eine Identität (4) Decrypt(sk,c): Entschlüsselt eine Nachticht c mit dem durch Private-Key-Extract erhaltenen privaten Schlüssel sk.

  12. Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Definition CLE (2) Ein CLE-Verschlüsselungsschema besteht aus sieben randomisierten Algorithmen: (5) Set-Secret-Value(ID): Benutzer: privates Geheimnis x auswählen (6) Set-Public-Key(x): Benutzer: eigenen öffentlichen Schlüssel berechnen (basiert nur auf dem privaten Geheimnis) (7) Set-Secret-Key(x,Partial-Private-Key-Extract[ID]): Benutzer: eignen (vollständigen) privaten Schlüssel berechnen

  13. Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Angriffsszenarien 2 mögliche Angriffsszenarien: (1) Eine böswillige dritte (externe) Partei darf die Sicherheit nicht kompromittieren können (2) Ein bösartiges KGC aber auch nicht! (…im Gegensatz zur IBE) (diese kennt den masterkey) • Zwei verschiedene Angreifer AI und AII mit verschiedene Fähigkeiten müssen modelliert werden Definition: Ein CLE-System heißt sicher, wenn es sowohl gegenüber einem Angreifer AI als auch gegenüber einem Angreifer AII sicher ist.

  14. Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Angriffsmodell Private-Key-Extract ( ID, PK ) Partial-Private-Key-Extract ( ID )Request-Public-Key( ID )Decrypt( ID, PK, C ) Probleminstanz Setup Solver Angreifer KeyGen Angriffsphase I Öffentlicher Schlüssel des KGC Sim1 A1 Orakelanfragen Challenge PK, ID, m0, m1 Challenge- Creator Encrypt(mb,ID) Angriffsphase II Sim2 A2 Orakelanfragen Ratephase Lösung

  15. Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell 2 mögliche Typen von Angreifern TYP I: AI („externer“ Angreifer, keinen Zugriff auf masterkey des KGC) Zugriff auf alle Orakelanfragen, „übliche Einschränkungen“ TYP II: AII („interner“ Angreifer, Zugriff auf masterkey des KGC) • Zugriff auf alle Orakelanfragen, „übliche Einschränkungen“ • Kann mit masterkey den KGC-Anteil des Schlüssels bestimmen  Einschränkung: kann öffentliche Schlüssel im Schlüsselverzeichnis nicht austauschen

  16. Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Grundsätzliche Problematik Aktuelle Situation: • es existieren Schemas mit Sicherheitsbeweisen im Zufallsorakelmodell (Al-Riyami u.a.) • Prolematisch: Black-Box Beweise Kern des Problems: „Schema sicher gegen Typ I  Schema unsicher gegen Typ II“(Typ I Entschlüsselungs-Simulator ist Typ II Angreifer)

  17. Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Konstruktion des Typ I – Angreifers AI • Erhalte öffentlichen Schlüssel PKKGC des KGC • Wähle Identität ID, wähle zufälligen geheimen Wert xID sowie einen öffentlichen Schlüssel PKID • Wähle zwei Nachrichten m0 und m1 • Verschlüssele mb (b zufällig) unter ID, PKKGC und PKID  erhalte C • Entschlüssle C mit Entschlüsselungsorakel • Gebe (ID, PKID, m0, m1) aus • Angreifer „weiß“ was der Simulator ihm auf die Entschlüsselungsanfrage antworten muss (mb) • Nutze diese Eigenschaft um einen Typ-II Angreifer zu konstruieren

  18. Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Konstruktion des Typ II – Angreifers AII A1II • Erhalte öffentlichen Schlüssel PKKGC und privaten Schlüssel SKKGC des KGC • Wähle Identität ID • Wähle zwei unterschiedliche Nachrichten m0 und m1, gebe sie und ID aus A2II • Erhalte Challenge Chiffretext C* • Frage PKID ab • Initialisiere Sim1 (mit PKKGC und SKKGC) und nutze Entschlüsselungsorakel zum Entschlüsseln von C* • Angreifer II mit überwältigender Wahrscheinlichkeit erfolgreich

  19. Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Problematik Angreifer I kann mehr (Entschlüsselung nach Austausch des öffentlichen Schlüssels) als Angreifer II.  Eigentlich unrealistische Annahme Grundsätzliche Prolematik oder nur beweistechnische Problematik?  Vermutlich nur Beweistechnische Problematik – keine Grundsätzliche („Observational/Black-Box Proofs“) [Dent/Kudla, 2005] Verschiedene „Lösungsmöglichkeiten“…

  20. Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Lösungsansätze • Vorschläge [Dent/Kudla, 2005] • Abschwächung des Angriffsmodells (Keine Entschlüsslungsanfragen zu ausgetauschten Schlüsseln, „unrealistische Annahme“) • Sim1 umkonstruieren (z.B. zusätzliche Initialparameter) damit AII ihn nicht nutzen kann • Andere Beweistechniken versuchen (Game hopping, neue entwickeln, …) • Black-Box des Angreifers öffnen, (nicht so, dass die Nachteile des Zufallsorakelmodells entstehen)

  21. Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Generische Konstruktionsmethoden Idee: Konstruktion eines zertifikatlosen Kryptosystems aus einem identitätsbasierten und einem PK Kryptosystem Sei f die Verschlüsselungsfunktion eines IBE-Schemas, g die Verschlüsselungsfunktion eines PK Schemas. Sei m eine Nachricht. (1) Dann ist die Verschlüsselungsfunktion h = f(g(m)) die Verschlüsselungsfunktion eines CL-Schemas. (2) Sei x zufällig gewählt. x‘ = x+m, „+“ geeignet, dann ist die Verschlüsselungsfunktion die Verschlüsselungsfunktion eines CL-Schemas. Satz: Seien f ein IND-ID-CCA2 sicheres IBE-Schema und g ein ID-CCA2 sicheres PK-Schema. Dann sind h und h‘ die Verschlüsselungfunktion eines IND-CL-CCA2 sicheren CLE-Schemas.

  22. E N D E  Ewan Fleischmann Zertifikatlose Public-Key Kryptographie

More Related