Kriptográfia Tizenegyedik előadás Digitális aláírások, kölcsönös és egyirányú hitelesítés, a DSA

Átírás

1 Kriptográfia Tizenegyedik előadás Digitális aláírások, kölcsönös és egyirányú hitelesítés, a DSA Dr. Németh N L. Zoltán SZTE, Számítástudom studomány Alapjai Tanszék 2008 ősz

2 Elektronikus aláí áírás s vagy digitális aláí áírás? Az Elektronikus aláí áírás s tv. indoklása tartalmazza, hogy az elektronikus aláí áírás s fogalomba beletartozik az a mindenfajta technológiai biztonságot nélkn lkülöző eljárás s is, amikor az aláí áíró egy elektronikus szöveg végére v odaírja a nevét vagy más m s azonosítóját. t. Ezek nem minősülnek fokozott biztonságú elektronikus aláí áírásnak. Ezt a kört nevezik "egyszer" egyszerű elektronikus aláí áírásnak" " is. Az elektronikus aláí áírás s fogalmába a fentieken túl t természetesen beletartoznak a fokozott biztonságú és s a minősített elektronikus aláí áírások is. A nyílt kulcsú infrastruktúrán n alapuló elektronikus aláí áírást digitális aláí áírásnak is szokták k nevezni. (Fogalomtár)

3 Digitális aláí áírások (Digital Signatures) eddig foglalkoztunk a hitelesítéssel ssel ami biztosítja tja a feleket egy harmadik támadt madótól de nem védi meg őket egymástól, a kommunikáci ció a kölcsönös s bizalomra épült a digitális aláí áírás s a hagyományos aláí áíráshoz hasonlóan an erre is képes, k sőt s t a hanyományos nyos aláí áírástól l eltérően en nem az üzenet hordozójához hoz (a papírhoz), hanem magához az üzenethez kötődikk dik, pl. másolhatm solható,, több t példp ldányban létezhet. l a nyilvános nos kulcsú kriptográfia az alapja, nélküle le igen nehezen megvalósíthat tható biztonsági feladatokat (pl. letagadhatatlanság) g) lát l t el.

4 A digitális aláí áírás s feladatai 1. azonosítsa a dokumentum szerzőjét, és ellenőrizhet rizhető legyen az aláí áírás s ideje 2. hitelesítse tse az üzenet tartalmát t (az aláí áírás pillanatában) 3. harmadik fél f által ellenőrizhet rizhető legyen a felek közti k viták k igazságos gos eldönt ntése végett Tehát t a hitelesítés s funkcióján n túl t l további szolgáltat ltatásokat tartalmaz

5 A digitális aláí áírás s tulajdonságai Ezek alapján n a digitális aláí áírás s olyan bitsorozat legyen, mely 1. függjön n az aláí áírt üzenettől 2. a szerzőre re jellemző egyedi informáci cióra épüljön hogy védjen v a hamisítást stól és s a letagadást stól l is 3. egyszerűen en elkész szíthető legyen 4. egyszerűen en felismerhető és s ellenőrizhet rizhető legyen 5. reménytelen nytelenül l sok számításba sba tartson hamisítani új üzenetet készk szíteni meglévő aláí áírásoz vagy hamis aláí áírást készk szíteni adott üzenethez 6. praktikusan tárolhatt rolható legyen hosszú távra is

6 Direkt digitális aláí áírások I (Direct Digital Signatures) csak a küldk ldő és s a címzett c közötti, k megbízhat zható harmadik fél f l nincs feltételezi, telezi, hogy a címzett c ismeri a küldk ldő nyilvános nos kulcsát az aláí áírást az üzenetnek vagy annak hash kódjának a küldő magánkulcs nkulcsával való kódolása (,,titkosítása sa )) jelenti ha azt is szeretnénk nk hogy az üzenet titkos legyen persze szüks kség g van a címzett c nyilvános nos kulcsával való titkosításra sra is ami fontos, hogy az aláí áírás s után történjen mert viták k esetén n a megbízhat zható harmadik félnek f az aláí áírás s mellett az üzenetet is látnia l kell

7 Direkt digitális aláí áírások II (Direct Digital Signatures) az aláí áírás s biztonsága a küldk ldő magánkulcs nkulcsának nak titokban tartásán múlik ez gondod jelenthet: elhagyás, eltulajdonítás s esetén -> hitelesített(!) tett(!) időbélyegz lyegzés és időben törtt rténő kulcsvisszahívás s kell, célszerű a külön n aláí áíró kulcspár használata, mely csak aláí áírásra (a magánkulcs) és s annak ellenőrz rzésére re (a nyilvános nos kulcs) szolgál l nem pedig titkosításra sra - megfejtésre

8 Digitális aláí áírás döntőbiróval Arbitrated Digital Signatures A döntőbíró (arbitrator)) olyan választott v vagy kijelölt lt személy vagy szervezet, akinek egy aláí áíró,, illetve ellenőrz rző közötti vita eldönt ntése a feladata, ha köztk ztük k nincs megegyezés s egy digitális aláí áírás érvényességét t illetően. en. (Fogalomtár) A döntd ntőbíró a vitákon túl t ellenőrzi (validates)) az aláí áírást a hozzá eljuttatott üzeneten dátummal látja el, majd elküldi ldi a címzettnek c a döntd ntőbíróban ban mindkét t félnek f meg kell bíznib a megvalósítás s törtt rténhet mind a nyilvános nos,, mind a szimmetrikus kriptográfia algoritmusaival a döntd ntőbíró vagy elolvashatja az üzenethez, vagy nem (elég g a titkosított tott tartalmat és s annak aláí áírását t látnia) l

9 Hitelesítési si protokollok Authentication Protocols a feleknek meg kell győzni zniük k partnerüket személy lyük k hitelességéről, és s szüks kséges a kulcscseréhez is lehet egyirány nyú vagy kölcsk lcsönös alapvetően en fontos a bizalmasság a kapcsolatkulcsok védelmv delméhez ezért egy előzetesen eljutatott, megbízhat zható közös titkos vagy nyilvános nos kulcs kell hozzá időbeni pontosság (timeliness) a visszajátsz tszásos sos támadások (replay( attacks) ) kivédésére a biztonságos protokollok tervezése nagy körültekintést igényel számos publikált lt protokollban fedeztek fel hibákat, melyeket később k korrigálni kellett.

10 Visszajátsz tszásos sos támadt madások (Replay Attacks) amikor a támadt madó egy valós s (aláí áírt/titkosított/stb.) tott/stb.) üzenetet lemásol és s később k újra elküld ld egyszerű visszajátsz tszás ismétl tlés, mely naplózhat zható (can be logged) észrevehetetlen visszajátsz tszás s (cannot( be detected) visszajátsz tszás s a küldk ldőnek módosm dosítás s nélkn lkül (backward replay) lehetséges ellen intézked zkedések üzenet sorszámok (sequence numbers) ) használata (általában nem praktikus, mert emlékezni kell a legutóbbi sorszámra mra) időbélyegek (timestamps,, az órák k szinkronizálása sa kell) kérdés/felelet (challenge/response) egyszeri nonce-okkal okkal

11 Kölcsönös s hitelesítés szimmetrikus titkosítással ssal a kulcsok két k t szintű (főkulcs - kapcsolatkulcs) hierachiájával általában egy kulcselosztó központon (Key Distribution Center, KDC) keresztül, amiben mindenki megbízik minden fél f l a központtal k egy-egy főkulcson osztozik a központ k generálja a feleknek kapcsolatkulcsokat és s a főkulcs segíts tségével osztja ki őket

12 A Needham-Schroeder protokoll szimmetrikus kriptográfi fiával az eredeti alap kulcscsere protokoll kulcselosztás harmadik fél f l segíts tségével egy KDC közvetk zvetít A és B között nekik a Ka és Kb szimmetrikus kulcsokkal titkosítva tva ő generálja és s osztja ki a Ks kapcsolatkulcsot ezért benne abszolút t meg kell bíznib a protokoll: 1. A->KDC: ID A ID B N KDC -> A: E Ka [Ks ID B N 1 E Kb [Ks ID A ] ] 3. A -> B: E Kb [Ks ID A ] 4. B -> A: E Ks [N 2 ] 5. A -> B: E Ks [f(n 2 )]

13 Needham-Schroeder Protocol arra szolgál, l, hogy biztonságosan szétosszon A és B közt k egy új Ks kapcsolatkulcsot de sérülékeny s a visszajátsz tszásra, sra, ha egy korábbi Ks kapcsolatkulcs kompromittálódott a támadt madó visszajátszthatja a 3. üzenetet meggyőzve B-t,, hogy A-val kommunikál és rávéve, ve, hogy eztán n a régi r Ks-t használja a hiba kijavítása törtt rténhet: időbélyegekkel (Denning 81) még g egy nonce használat latával (Neuman 93)

14 Kölcsönös s hitelesítés nyilvános nos kulcsú titkosítással ssal a nyilvános nos kulcsú titkosítás s számos megközel zelítési módot m kínálk egy példp ldát t már m r láttunk l a kulcselosztásn snál de ehhez a feleknek biztosnak kell lenniük, hogy valóban a partner nyilvános nos kulcsát t birtokolják ez a feltétel tel nem mindig praktikus helyette elége egy hitelesítő szerver (Authentication Server, AS) nyilvános nos kulcsát ismerni számos protokoll van időbélyegekkel vagy nonce-okkal okkal

15 Titkos kulcs szétoszt tosztás nyilvános nos kulcsú kriptográfi fiával Ha már m PU A és PU B cseréje megtört rtént: N 1 és N 2 nonce = véletlen bitsorozat, a kapcsolat egyedi azonosítója

16 Denning AS protokoll Denning 81 protokollja a következk vetkező: 1. A -> AS: ID A ID B 2. AS -> A: E PRas [ID A PU a T] ] E PRas [ID B PU b T] 3. A -> B: E PRas [ID A PU a T] ] E PRas [ID B PU b T] ] PUb [E PRA [K s T]] E PUb [E PR észrevétel: a K s kapcsolatkulcsot A választja, így nem kell AS-ben megbíznia a megőrz rzéséhez az időbélyegek megóvnak a visszajátsz tszástól, de az órák k szinkronizálása sa kell hozzájuk

17 Egyirány nyú hitelesítés (One-Way Authentication) akkor szüks kséges, ha a feladó és s a címzett c nem egyidőben érintkezik, pl. eze mailezés s esetén a,,boríték = az e fejléce szabadon olvasható kell, hogy legyen a postázáshoz shoz de az üzenet külön-külön k n lehet titkos és/vagy hiteles (vagyis a feladó által aláí áírt)

18 Szimmetrikus titkosítással ssal A címzettnek c (B) nem kell online lennie: 1. A->KDC: ID A ID B N KDC -> A: E Ka [Ks ID B N 1 E Kb [Ks ID A ] ] 3. A -> B: E Kb [Ks ID A ] E Ks [M] ez nem véd v d a visszajátsz tszástól alkalmazhatnánk nk időbélyegeket, de az ek átjutásának időnk nként nt nagyobb várakozási ideje ezt problematikussá teszik.

19 Nyilvános kulcsú titkosítással ssal már r láttunk l néhány n ny megközel zelítést ha a bizalmasság g a főf szempont, akkor pl: A->B: E PUb [Ks] ] E Ks [M] vagyis titksosított tott kapcsolatkulcs, majd az üzenetet vele titkosítva tva ha csak hitelesítésre sre van szüks kség pl: A->B: M E PRa [H(M)] E PRas [T ID A PU a ] vagyis üzenet, aláí áírás, tanúsítv tvány (AS( AS-től)

20 A digitális aláí áírási szabvány Digital Signature Standard (DSS) az USA kormányzata által elfogadott aláí áírási séma tervezői: NIST & NSA szabvány: FIPS-186 (1991) felülvizsg lvizsgálva: lva: 1993, 1996, 2000 az SHA hash algoritmusra épül a DSS a szabvány neve, DSA az algoritmusé a FIPS (2000) más m s alternatívákat is kínál k az RSA-ra vagy az elliptikus görbg rbékre alapozva

21 A digitális aláí áírási szabvány 320 bites aláí áírást készk szít bites biztonsággal kisebb és gyorsabb mint az RSA csak digitális aláí áírási séma, s titkosításra sra nem jój a biztonság g a diszkr zkrét logaritmus probléma nehézs zségén n alapszik az ElGamal & Schnorr sémák k variáci ciója

22 Az RSA-ra alapozott aláí áírás és s a DSA különbsége

23 A DSA paraméterei: p, q, g, x és y megosztott globális lis nyilvános nos kulcs értékek: p,q,g q legyen egy 160 bites prímsz mszám p legyen egy nagy prímsz mszám, m, melyre 2 L- 1 < p < 2 L ahol L= bit és 64-gyel osztható 2001-ben módosm dosítás: s: csak L=1024 és q a (p-1) egyik nagy osztója legyen g = h (p-1)/q mod p ahol h < p-1, h (p-1)/q mod p > 1 véletlen így g rendje nagy (pontosan q) ) lesz Z p -ben,, mert g q = (h (p-1)/q ) q = h (p-1) = 1 (mod p) a felhasználók k (azaz az aláí áírók) választanak egy x < q magánkulcsot és kiszámítj tják k az y = g x mod p nyilvános nos kulcsot

24 DSA aláí áírás s készk szítés az M üzenet aláírása két 160 bites szám lesz: r és s egy M üzenet aláírásához a küldk ldő: generál l egy véletlen v k számot, ahol k<q fontos: k-nak véletlennek kell lennie használat után n meg kell semmisíteni, teni,és újrahasználni tilos ezután így számítjuk az aláí áírást: r = (g( k mod p) mod q s = k -1 (H(M) + x r) mod q az M üzenet aláírása: (r,s) melyet az üzenettel együtt elküldhetünk

25 A DSA aláí áírás s ellenőrz rzése miután n az M-et és s az (r,s) aláí áírást megkapta a címzett c vagy bárki b más m s kiszámíthatja: w = s -1 mod q u1= H(M) w mod q u2= r w mod q v = (g u1 yu2 mod p) mod q ha v=r akkor az aláí áírást elfogadja a DSA helyességének bizonyítását t lásd l a szabványban FIPS ( oldal): csrc.nist.gov/publications/fips/fips186-2/fips186-2-change1.pdf

26 Az újabb szabványtervezet A faktorizáci ciót és így a diszkrét t logaritmus problémát t megoldó algoritmusok fejlődése miatt indokolt a nagyobb prímsz mszámokra mokra való áttérés Javaslat p és q hosszára bitekben L = 1024, N = 160 L = 2048, N = 224 L = 2048, N = 256 L = 3072, N = novemberében ben még m g csak tervezet a szabvány új j verziója: FIPS : csrc.nist.gov/publications/drafts/fips_186-3/ Draft_FIPS _FIPS-186- _November200.pdf Elliptikus görbg rbék k feletti csoportokban is

27 Felhasznált lt irodalom William Stallings: Cryptography and Network Security,, 4th Edition, Prentice Hall, (Chapter( 13) Lawrie Brown előad adás s fólif liái i (Chapter( 13) KIKERES Fogalomtár 3.0