ohne Exkurs Secret-Sharing

Transcription

Asymmetrische Verschlüsselungsverfahren
Vorlesung 5 | Alexander Koch (Vertretung)
FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
0
Koch – Asymmetrische
KIT –2015-11-19
Universität desAlexander
Landes Baden-Württemberg
und Verschlüsselungsverfahren
nationales Forschungszentrum in der Helmholtz-Gemeinschaft
www.kit.edu
Motivation
Bob möchte eine lange Nachricht verschicken
Bob
1
2015-11-19
Shall I compare thee to a summer’s day?
Thou art more lovely and more temperate:
Rough winds do shake the darling buds of May,
And summer’s lease hath all too short a date;
Sometime too hot the eye of heaven shines,
And often is his gold complexion dimm’d;
And every fair from fair sometime declines,
By chance or nature’s changing course untrimm’d;
But thy eternal summer shall not fade,
Nor lose possession of that fair thou ow’st;
Nor shall Death brag thou wander’st in his shade,
When in eternal lines to time thou grow’st:
So long as men can breathe or eyes can see,
So long lives this, and this gives life to thee.
[William Shakespeare, Sonnet 18, ca. 5000 bit]
Alexander Koch – Asymmetrische Verschlüsselungsverfahren
Motivation
Bob
1
2015-11-19
Variante 1. Verwende direkt (Padded-)RSASchema mit Nachrichtenraum {0, 1}5000 .
Motivation
Bob
1
2015-11-19
Variante 1. Verwende direkt (Padded-)RSASchema mit Nachrichtenraum {0, 1}5000 .
Problem: Padded-RSA bewiesen sicher für
Nachrichtenlänge `(n) ∈ O(log n),
Sicherheitsparam. n exponentiell in `(n)
Gänzlich unpraktikabel
Motivation
Bob
1
2015-11-19
Variante 2. Verwende unsere Konstruktion
aus der letzten Vorlesung:
0
Encpk
(m ) = Encpk (m1 ), . . . , Encpk (mt ),
wobei m = m1 · · · mt mit |mi | = k .
Laufzeit: t = d|m |/k e-fach,
Chiffratlänge: t-fach
Motivation
Bob
1
2015-11-19
0
Encpk
(m ) = Encpk (m1 ), . . . , Encpk (mt ),
Motivation
0
Encpk
(m ) = Encpk (m1 ), . . . , Encpk (mt ),
Bob
[Imgur, ca. 472 704 bit]
1
2015-11-19
Motivation
0
Encpk
(m ) = Encpk (m1 ), . . . , Encpk (mt ),
Bob
[Imgur, ca. 472 704 bit]
Frage: Wie geht das deutlich effizienter?
1
2015-11-19
Motivation
0
Encpk
(m ) = Encpk (m1 ), . . . , Encpk (mt ),
Bob
Frage: Wie geht das deutlich effizienter?
1
2015-11-19
Lernziele heute
Ziel ist es, dass Sie nach dieser Lehrveranstaltung . . .
2
1
Das Prinzip der hybriden Verschlüsselung verstehen,
2
deren Effizienzgewinn, Einsatzszenarien und Vorkommen in der
Praxis kennen
3
Die Beweisidee der generische Konstruktion nachvollziehen,
4
mit Wahrscheinlichkeitsensembles und computational
Ununterscheidbarkeit umgehen können,
5
Das Prinzip der hybriden Verschlüsselung, am Beispiel von
Geheimnisteilverfahren, auf andere Kontexte anwenden,
6
Eine probabilistische, sichere RSA-Variante kennen.
2015-11-19
Lernziele heute
2
1
2
Praxis kennen
3
4
5
6
2015-11-19
Lernziele heute
2
1
2
Praxis kennen
3
4
5
6
2015-11-19
Lernziele heute
2
1
2
Praxis kennen
3
4
5
6
2015-11-19
Lernziele heute
2
1
2
Praxis kennen
3
4
5
6
2015-11-19
Lernziele heute
2
1
2
Praxis kennen
3
4
5
6
2015-11-19
Idee Hybride Verschlüsselung
Idee: Kombiniere symmetrische und asymmetrische
Verschlüsselung, sodass man die Vorteile beider Verfahren erhält.
3
2015-11-19
Hybride Verschlüsselung
Schlüssel erzeugen
1. Bob erzeugt PKESchlüsselpaar
(pk , sk ) ← Gen(1n )
pk
sk
4
2015-11-19
Verschlüsseln
2. Verschlüssele m unter k mittels SKE
pk
1. Verschlüssle k mittels PKE
pk
0. Erzeuge symm. Schlüssel k
pk
sk
4
2015-11-19
Entschlüsseln
2. Entschlüssele m unter k mittels SKE
pk
1. Entschlüssle k mittels PKE
sk
pk
sk
4
2015-11-19
Algorithmen von Πhy formal
Sei Π = (Gen, Enc, Dec) PKE-Schema, Π0 = (Gen0 , Enc0 , Dec0 )
SKE-Schema.
Genhy (1n ) verwendet Gen(1n ) und gibt dessen Ausgabe aus.
hy
Encpk (m ) zieht symm. Schlüssel k ← Gen0 (1n ), berechnet
c1 ← Encpk (k ) und c2 ← Enck0 (m ), gibt (c1 , c2 ) aus.
hy
Decsk (c ) berechnet aus c = (c1 , c2 ), zunächst k := Decsk (c1 ),
gibt m := Deck0 (c2 ).
5
2015-11-19
Frage: Wann lohnt sich hybride Verschlüsselung?
6
2015-11-19
Zuviel Hybrid. . .
7
2015-11-19
Sicherheit von hybrider Verschlüsselung
Theorem
Falls Π ein IND-CPA-sicheres PKE-Schema, und Π0 ein
SKE-Schema, dass sicher gegen (passive) Lauscher ist, dann
ist Πhy ein IND-CPA-sicheres PKE-Schema.
Für den Beweis gucken wir uns Ununterscheidbarkeit von
Wahrscheinlichkeitsensembles an.
8
2015-11-19
Wahrscheinlichkeitsensembles
Wahrscheinlichkeitsensemble.
Folge von Zufallsvariablen (Xn )n∈N , mit Werten in {0, 1}≤p (n) .
c
Computational ununterscheidbar, X ≡ Y
Sei X := (Xn )n∈N , Y := (Yn )n∈N . X ist computational
ununterscheidbar von Y , falls es für jeden PPT-„Unterscheider“ D
eine vernachlässigbare Funktion negl gibt, sodass
Pr [D(1n , x ) = 1] − Pr [D(1n , y ) = 1] ≤ negl(n).
x ← Xn
y ← Yn
D kann ein x ← Xn nicht von einem y ← Yn unterscheiden.
Beachte: Sicherheitsparameter n ∈ N ab jetzt implizit.
9
2015-11-19
Sicherheitsbeweis von Πhy
PKE-Schema Π = (Gen, Enc, Dec) IND-CPA-sicher:
Für von einem PPT-Angreifer gewählte Nachrichten m0 , m1 gilt:
c
(pk , Encpk (m0 )) ≡ (pk , Encpk (m1 )),
wobei (pk , sk ) ← Gen(1n ).
10
2015-11-19
c
SKE-Schema Π0 = (Gen0 , Enc0 , Dec0 ) sicher gegen Lauscher:
c
Enck0 (m0 ) ≡ Enck0 (m1 ),
wobei k ← Gen(1n ).
10
2015-11-19
c
SKE-Schema Π0 = (Gen0 , Enc0 , Dec0 ) sicher gegen Lauscher:
c
Enck0 (m0 ) ≡ Enck0 (m1 ),
wobei k ← Gen(1n ).
c
Wollen: (pk , Encpk (k ), Enck0 (m0 )) ≡ (pk , Encpk (k ), Enck0 (m1 )).
|
{z
}
|
{z
}
Chiffrat von m0 unter Πhy
10
2015-11-19
Chiffrat von m1 unter Πhy
Sicherheitsbeweis von Πhy II
„Transitivität“
(pk , Encpk (k ), Enck0 (m1 ))
SKE sicher
(pk , Encpk (0|k | ), Enck0 (m1 ))
PKE sicher
PKE sicher
(pk , Encpk (k ), Enck0 (m0 ))
(pk , Encpk (0|k | ), Enck0 (m0 ))
„ “
11
2015-11-19
IND-CPA-sichere RSA-Verschlüsselung
Padded-RSA
Gen(1n ) bestimmt N, e und d mittels GenRSA(1n ). Setzt
pk := (N , e ), sk := (N , d ), gibt (pk , sk ) aus.
Encpk (m ) für pk = (N , e ) und m ∈ {0, 1}`(n) 1 wählt
∗,
r ← {0, 1}kN k−`(n)−1 , interpretiert r k m als Element in ZN
berechnet
c := (r k m )e mod N ,
gibt c aus.
∗ , berechnet
Decsk (c ) für sk = (N , d ) und c ∈ ZN
m̂ := c d
mod N ,
gibt die `(n) niedrigwertigen Bits von m̂ aus.
1 `(n )
15
2015-11-19
ist Funktion mit `(n) ≤ 2n − 2 für alle n
IND-CPA-sichere RSA-Verschlüsselung
Sicherheit von Padded-RSA
Theorem
Falls das RSA-Problem schwierig relativ zu GenRSA ist, dann ist
das Verfahren mit `(n) ∈ O(log n) IND-CPA-sicher.
(ohne Beweis.)
16
2015-11-19
Zusammenfassung
1
2
3
4
5
17
Hybride Verschlüsselung macht
PKE-Schemata deutlich effizienter
Es wird die Nachricht unter einem
frischen Schlüssel k symmetrisch
verschlüsselt, danach k asymmetrisch.
Mit Geheimnisteilverfahren (SSS)
lassen sich Nachrichten so aufteilen,
dass man aus t von n Teilen nichts
lernen kann, aber ab t + 1
Rekonstruktion funktioniert.
Computational-sichere SSS bekommt
man mit „hybrider Verschlüsselung“.
Beim sicheren Padded-RSA-Verfahren
wird die Nachricht mit Zufall gepadded.
2015-11-19
Zusammenfassung
1
2
3
4
5
17
Hybride Verschlüsselung macht
PKE-Schemata deutlich effizienter
Es wird die Nachricht unter einem
frischen Schlüssel k symmetrisch
verschlüsselt, danach k asymmetrisch.
Mit Geheimnisteilverfahren (SSS)
lassen sich Nachrichten so aufteilen,
dass man aus t von n Teilen nichts
lernen kann, aber ab t + 1
Rekonstruktion funktioniert.
Computational-sichere SSS bekommt
man mit „hybrider Verschlüsselung“.
Beim sicheren Padded-RSA-Verfahren
wird die Nachricht mit Zufall gepadded.
2015-11-19
Vielen Dank für Ihre
Aufmerksamkeit.
Quelle: Katz–Lindell
10.3–10.5 exkl.
Ich würde gerne kurz (2min)
um Feedback bitten.
Quelle Comics: XKCD

ohne Exkurs Secret-Sharing

Transcription

Similar documents

Pressemeldung Hochzeit 2011

Adrian Schneider: Symmetrische Kryptographie

Juli - Universität Zürich

It`s likely you`ll need a lawyer

Ausflugstipps London 2015

AUSFLUGSTIPPS MIT RICHTPREISEN LONDON 2016

Bedienung von Cisco IOS Software Allgemeine Kommandos

Ausgabe 12/2014

Pokerregeln nach TDA+EPT ab 2016

Inhalt - Hase und Igel Verlag

unternehmensprofil - Templeton Webster

Shakespeare Sonett 18

SMS-Versand per Internet - SMS

SLD-Widerlegungsprozeduren SLD-Baum Beispiel

Probabilistische Proportionalhaftung und Haftung für