220 likes | 320 Views
Sicherheitsbeweise für zertifikatlose Public-Key Schemata. Ewan Fleischmann Kryptowochenende 2006 01/02. Juli 2006. Ziele der Diplomarbeit. Thema : Im Standardmodell beweisbar sichere Public-Key Kryptographie Ziele :
E N D
Sicherheitsbeweise für zertifikatlose Public-Key Schemata Ewan Fleischmann Kryptowochenende 2006 01/02. Juli 2006
Ziele der Diplomarbeit • Thema: • Im Standardmodell beweisbar sichere Public-Key Kryptographie • Ziele: • Suchen nach einfacher zu beschreibendem, aber äquivalentem, Angriffsmodell • Problematik der Sicherheitsbeweise im Standardmodell • Generische Konstruktionsmethoden für zertifikatlose Kryptosysteme • Konstruktion eines konkreten, im Standardmodell sicheren Systems Ewan Fleischmann Zertifikatlose Public-Key Kryptographie
Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Agenda Grundlagen • Zertifikatbasierte Verschlüsselung (CBE) • Identitätsbasierte Verschlüsselung (IBE) • Eigenschaften Zertifikatlose Public-Key Kryptographie • Kommunikationsmodell • Aufbau • Angriffsmodell Sicherheit im Standardmodell • Grundsätzliche Problematik • Folgerungen & Lösungsmöglichkeiten Generische Konstruktionsmechanismen Ewan Fleischmann Zertifikatlose Public-Key Kryptographie
Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Zertifikatbasierte Public-Key Kryptographie Public-Key Cert = Sign(pk,id) Zertifizierungsstelle Schlüsselverzeichnis CertBob CertBob … Public-Key pk Vertrauen (funktional) Vertrauen (funktional) pk SK Alice Bob
Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Zertifikatbasierte Public-Key Kryptographie • Nachteile: • Public-Key Infrastruktur muss vorhanden sein (Zertifizierungsstellen, Rückruf von Zertifikaten, …) • Sender obliegt die Überprüfung des Zertifikates • (bei Low-End mobilen Geräten eventuell zu aufwändig) Idee (1985, Shamir): Sender kann sich zu beliebigem Empfänger den öffentlichen Schlüssel selbst bestimmen! Keine Public-Key Infrastruktur mehr nötig
Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Identitätsbasierte Public-Key Kryptographie Public-Key Private-Key-Generator (PKG) sk Vertrauen (bedingungslos) Vertrauen (bedingungslos) Private-Key-Extract sk bob@company.com Berechnung… PKBob Alice Bob
Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Identitätsbasierte Public-Key Kryptographie Ein IBE-Verschlüsselungsschema besteht aus vier randomisierten Algorithmen: Setup(k): Systemparameter und Schlüsselerzeugung geheimer Masterschlüsse masterkey Private-Key-Extract(ID): Erzeugung des privaten Schlüssels einer Identität Encrypt(m, ID): Verschlüsselt eine Nachricht m für eine Identität Decrypt(sk,c): Entschlüsselt eine Nachticht c mit dem durch Private-Key-Extract erhaltenen privaten Schlüssel sk.
Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen - IBE Private-Key-Extract( ID)Decrypt( ID, C ) Probleminstanz Setup Solver Angreifer KeyGen Angriffsphase I Öffentlicher Schlüssel des PKG Sim1 A1 Orakelanfragen Challenge ID, m0, m1 Challenge- Creator Encrypt(mb,ID) Angriffsphase II Sim2 A2 Orakelanfragen Ratephase Lösung
Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Zertifikatbasierte Verschlüsselung (CBE) Identitätsbasierte Verschlüsselung (IBE) Eigenschaften IBE Grundlagen Identitätsbasierte Public-Key Kryptographie • Zentraler Nachteil: • Der Private-Key Generator kann sich die privaten Schlüssel zu jedem Nutzer erzeugen Ein erstes praktikables IBE-Verschlüsselungsschema wurde erst im Jahr 2001 von Boneh & Franklin vorgestellt (basierend auf Paarungen). Idee (2003, Al-Riyami) Entwicklung von Verschlüsselungsverfahren mit den gemeinsamen Vorteilen von CBE (keine Schlüsselhinterlegung) und IBE (keine PKI nötig).
Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Zertifikatlose Public-Key Kryptographie Public-Key Key-Generation-Center (KGC) SKKGC Schlüsselverzeichnis … PKBob … PKBob Partial-Private-Key-Extract PK Vertrauen (funktional) Vertrauen (funktional) bob@company.com Berechnung… PKKGC SK SKBob Alice Bob
Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Definition CLE Ein CLE-Verschlüsselungsschema besteht aus sieben randomisierten Algorithmen: (1) Setup(k): Systemparameter und Schlüsselerzeugung geheimer Masterschlüssel masterkey (2) Partial-Private-Key-Extract(ID): Erzeugung des privaten Schlüssels einer Identität (3) Encrypt(m, pk): Verschlüsselt eine Nachricht m für eine Identität (4) Decrypt(sk,c): Entschlüsselt eine Nachticht c mit dem durch Private-Key-Extract erhaltenen privaten Schlüssel sk.
Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Definition CLE (2) Ein CLE-Verschlüsselungsschema besteht aus sieben randomisierten Algorithmen: (5) Set-Secret-Value(ID): Benutzer: privates Geheimnis x auswählen (6) Set-Public-Key(x): Benutzer: eigenen öffentlichen Schlüssel berechnen (basiert nur auf dem privaten Geheimnis) (7) Set-Secret-Key(x,Partial-Private-Key-Extract[ID]): Benutzer: eignen (vollständigen) privaten Schlüssel berechnen
Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Angriffsszenarien 2 mögliche Angriffsszenarien: (1) Eine böswillige dritte (externe) Partei darf die Sicherheit nicht kompromittieren können (2) Ein bösartiges KGC aber auch nicht! (…im Gegensatz zur IBE) (diese kennt den masterkey) • Zwei verschiedene Angreifer AI und AII mit verschiedene Fähigkeiten müssen modelliert werden Definition: Ein CLE-System heißt sicher, wenn es sowohl gegenüber einem Angreifer AI als auch gegenüber einem Angreifer AII sicher ist.
Grundlagen Zertifikatlose Verschlüsselung Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell Angriffsmodell Private-Key-Extract ( ID, PK ) Partial-Private-Key-Extract ( ID )Request-Public-Key( ID )Decrypt( ID, PK, C ) Probleminstanz Setup Solver Angreifer KeyGen Angriffsphase I Öffentlicher Schlüssel des KGC Sim1 A1 Orakelanfragen Challenge PK, ID, m0, m1 Challenge- Creator Encrypt(mb,ID) Angriffsphase II Sim2 A2 Orakelanfragen Ratephase Lösung
Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Kommunikationsmodell Aufbau Angriffsmodell 2 mögliche Typen von Angreifern TYP I: AI („externer“ Angreifer, keinen Zugriff auf masterkey des KGC) Zugriff auf alle Orakelanfragen, „übliche Einschränkungen“ TYP II: AII („interner“ Angreifer, Zugriff auf masterkey des KGC) • Zugriff auf alle Orakelanfragen, „übliche Einschränkungen“ • Kann mit masterkey den KGC-Anteil des Schlüssels bestimmen Einschränkung: kann öffentliche Schlüssel im Schlüsselverzeichnis nicht austauschen
Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Grundsätzliche Problematik Aktuelle Situation: • es existieren Schemas mit Sicherheitsbeweisen im Zufallsorakelmodell (Al-Riyami u.a.) • Prolematisch: Black-Box Beweise Kern des Problems: „Schema sicher gegen Typ I Schema unsicher gegen Typ II“(Typ I Entschlüsselungs-Simulator ist Typ II Angreifer)
Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Konstruktion des Typ I – Angreifers AI • Erhalte öffentlichen Schlüssel PKKGC des KGC • Wähle Identität ID, wähle zufälligen geheimen Wert xID sowie einen öffentlichen Schlüssel PKID • Wähle zwei Nachrichten m0 und m1 • Verschlüssele mb (b zufällig) unter ID, PKKGC und PKID erhalte C • Entschlüssle C mit Entschlüsselungsorakel • Gebe (ID, PKID, m0, m1) aus • Angreifer „weiß“ was der Simulator ihm auf die Entschlüsselungsanfrage antworten muss (mb) • Nutze diese Eigenschaft um einen Typ-II Angreifer zu konstruieren
Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Konstruktion des Typ II – Angreifers AII A1II • Erhalte öffentlichen Schlüssel PKKGC und privaten Schlüssel SKKGC des KGC • Wähle Identität ID • Wähle zwei unterschiedliche Nachrichten m0 und m1, gebe sie und ID aus A2II • Erhalte Challenge Chiffretext C* • Frage PKID ab • Initialisiere Sim1 (mit PKKGC und SKKGC) und nutze Entschlüsselungsorakel zum Entschlüsseln von C* • Angreifer II mit überwältigender Wahrscheinlichkeit erfolgreich
Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Problematik Angreifer I kann mehr (Entschlüsselung nach Austausch des öffentlichen Schlüssels) als Angreifer II. Eigentlich unrealistische Annahme Grundsätzliche Prolematik oder nur beweistechnische Problematik? Vermutlich nur Beweistechnische Problematik – keine Grundsätzliche („Observational/Black-Box Proofs“) [Dent/Kudla, 2005] Verschiedene „Lösungsmöglichkeiten“…
Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Problematik Lösungsansätze Lösungsansätze • Vorschläge [Dent/Kudla, 2005] • Abschwächung des Angriffsmodells (Keine Entschlüsslungsanfragen zu ausgetauschten Schlüsseln, „unrealistische Annahme“) • Sim1 umkonstruieren (z.B. zusätzliche Initialparameter) damit AII ihn nicht nutzen kann • Andere Beweistechniken versuchen (Game hopping, neue entwickeln, …) • Black-Box des Angreifers öffnen, (nicht so, dass die Nachteile des Zufallsorakelmodells entstehen)
Grundlagen Zertifikatlose Verschlüsselung (CLE) CLE: Sicherheit im Standardmodell Generische Konstruktionsmethoden Idee: Konstruktion eines zertifikatlosen Kryptosystems aus einem identitätsbasierten und einem PK Kryptosystem Sei f die Verschlüsselungsfunktion eines IBE-Schemas, g die Verschlüsselungsfunktion eines PK Schemas. Sei m eine Nachricht. (1) Dann ist die Verschlüsselungsfunktion h = f(g(m)) die Verschlüsselungsfunktion eines CL-Schemas. (2) Sei x zufällig gewählt. x‘ = x+m, „+“ geeignet, dann ist die Verschlüsselungsfunktion die Verschlüsselungsfunktion eines CL-Schemas. Satz: Seien f ein IND-ID-CCA2 sicheres IBE-Schema und g ein ID-CCA2 sicheres PK-Schema. Dann sind h und h‘ die Verschlüsselungfunktion eines IND-CL-CCA2 sicheren CLE-Schemas.
E N D E Ewan Fleischmann Zertifikatlose Public-Key Kryptographie