Kriptográfia Tizenegyedik előadás Digitális aláírások, kölcsönös és egyirányú hitelesítés, a DSA

Kriptográfia Tizenegyedik előadás Digitális aláírások, kölcsönös és egyirányú hitelesítés, a DSA Dr. Németh N L. Zoltán SZTE, Számítástudom studomány Alapjai Tanszék 2008 ősz

Elektronikus aláí áírás s vagy digitális aláí áírás? Az Elektronikus aláí áírás s tv. indoklása tartalmazza, hogy az elektronikus aláí áírás s fogalomba beletartozik az a mindenfajta technológiai biztonságot nélkn lkülöző eljárás s is, amikor az aláí áíró egy elektronikus szöveg végére v odaírja a nevét vagy más m s azonosítóját. t. Ezek nem minősülnek fokozott biztonságú elektronikus aláí áírásnak. Ezt a kört nevezik "egyszer" egyszerű elektronikus aláí áírásnak" " is. Az elektronikus aláí áírás s fogalmába a fentieken túl t természetesen beletartoznak a fokozott biztonságú és s a minősített elektronikus aláí áírások is. A nyílt kulcsú infrastruktúrán n alapuló elektronikus aláí áírást digitális aláí áírásnak is szokták k nevezni. (Fogalomtár)

Digitális aláí áírások (Digital Signatures) eddig foglalkoztunk a hitelesítéssel ssel ami biztosítja tja a feleket egy harmadik támadt madótól de nem védi meg őket egymástól, a kommunikáci ció a kölcsönös s bizalomra épült a digitális aláí áírás s a hagyományos aláí áíráshoz hasonlóan an erre is képes, k sőt s t a hanyományos nyos aláí áírástól l eltérően en nem az üzenet hordozójához hoz (a papírhoz), hanem magához az üzenethez kötődikk dik, pl. másolhatm solható,, több t példp ldányban létezhet. l a nyilvános nos kulcsú kriptográfia az alapja, nélküle le igen nehezen megvalósíthat tható biztonsági feladatokat (pl. letagadhatatlanság) g) lát l t el.

A digitális aláí áírás s feladatai 1. azonosítsa a dokumentum szerzőjét, és ellenőrizhet rizhető legyen az aláí áírás s ideje 2. hitelesítse tse az üzenet tartalmát t (az aláí áírás pillanatában) 3. harmadik fél f által ellenőrizhet rizhető legyen a felek közti k viták k igazságos gos eldönt ntése végett Tehát t a hitelesítés s funkcióján n túl t l további szolgáltat ltatásokat tartalmaz

A digitális aláí áírás s tulajdonságai Ezek alapján n a digitális aláí áírás s olyan bitsorozat legyen, mely 1. függjön n az aláí áírt üzenettől 2. a szerzőre re jellemző egyedi informáci cióra épüljön hogy védjen v a hamisítást stól és s a letagadást stól l is 3. egyszerűen en elkész szíthető legyen 4. egyszerűen en felismerhető és s ellenőrizhet rizhető legyen 5. reménytelen nytelenül l sok számításba sba tartson hamisítani új üzenetet készk szíteni meglévő aláí áírásoz vagy hamis aláí áírást készk szíteni adott üzenethez 6. praktikusan tárolhatt rolható legyen hosszú távra is

Direkt digitális aláí áírások I (Direct Digital Signatures) csak a küldk ldő és s a címzett c közötti, k megbízhat zható harmadik fél f l nincs feltételezi, telezi, hogy a címzett c ismeri a küldk ldő nyilvános nos kulcsát az aláí áírást az üzenetnek vagy annak hash kódjának a küldő magánkulcs nkulcsával való kódolása (,,titkosítása sa )) jelenti ha azt is szeretnénk nk hogy az üzenet titkos legyen persze szüks kség g van a címzett c nyilvános nos kulcsával való titkosításra sra is ami fontos, hogy az aláí áírás s után történjen mert viták k esetén n a megbízhat zható harmadik félnek f az aláí áírás s mellett az üzenetet is látnia l kell

Direkt digitális aláí áírások II (Direct Digital Signatures) az aláí áírás s biztonsága a küldk ldő magánkulcs nkulcsának nak titokban tartásán múlik ez gondod jelenthet: elhagyás, eltulajdonítás s esetén -> hitelesített(!) tett(!) időbélyegz lyegzés és időben törtt rténő kulcsvisszahívás s kell, célszerű a külön n aláí áíró kulcspár használata, mely csak aláí áírásra (a magánkulcs) és s annak ellenőrz rzésére re (a nyilvános nos kulcs) szolgál l nem pedig titkosításra sra - megfejtésre

Digitális aláí áírás döntőbiróval Arbitrated Digital Signatures A döntőbíró (arbitrator)) olyan választott v vagy kijelölt lt személy vagy szervezet, akinek egy aláí áíró,, illetve ellenőrz rző közötti vita eldönt ntése a feladata, ha köztk ztük k nincs megegyezés s egy digitális aláí áírás érvényességét t illetően. en. (Fogalomtár) A döntd ntőbíró a vitákon túl t ellenőrzi (validates)) az aláí áírást a hozzá eljuttatott üzeneten dátummal látja el, majd elküldi ldi a címzettnek c a döntd ntőbíróban ban mindkét t félnek f meg kell bíznib a megvalósítás s törtt rténhet mind a nyilvános nos,, mind a szimmetrikus kriptográfia algoritmusaival a döntd ntőbíró vagy elolvashatja az üzenethez, vagy nem (elég g a titkosított tott tartalmat és s annak aláí áírását t látnia) l

Hitelesítési si protokollok Authentication Protocols a feleknek meg kell győzni zniük k partnerüket személy lyük k hitelességéről, és s szüks kséges a kulcscseréhez is lehet egyirány nyú vagy kölcsk lcsönös alapvetően en fontos a bizalmasság a kapcsolatkulcsok védelmv delméhez ezért egy előzetesen eljutatott, megbízhat zható közös titkos vagy nyilvános nos kulcs kell hozzá időbeni pontosság (timeliness) a visszajátsz tszásos sos támadások (replay( attacks) ) kivédésére a biztonságos protokollok tervezése nagy körültekintést igényel számos publikált lt protokollban fedeztek fel hibákat, melyeket később k korrigálni kellett.

Visszajátsz tszásos sos támadt madások (Replay Attacks) amikor a támadt madó egy valós s (aláí áírt/titkosított/stb.) tott/stb.) üzenetet lemásol és s később k újra elküld ld egyszerű visszajátsz tszás ismétl tlés, mely naplózhat zható (can be logged) észrevehetetlen visszajátsz tszás s (cannot( be detected) visszajátsz tszás s a küldk ldőnek módosm dosítás s nélkn lkül (backward replay) lehetséges ellen intézked zkedések üzenet sorszámok (sequence numbers) ) használata (általában nem praktikus, mert emlékezni kell a legutóbbi sorszámra mra) időbélyegek (timestamps,, az órák k szinkronizálása sa kell) kérdés/felelet (challenge/response) egyszeri nonce-okkal okkal

Kölcsönös s hitelesítés szimmetrikus titkosítással ssal a kulcsok két k t szintű (főkulcs - kapcsolatkulcs) hierachiájával általában egy kulcselosztó központon (Key Distribution Center, KDC) keresztül, amiben mindenki megbízik minden fél f l a központtal k egy-egy főkulcson osztozik a központ k generálja a feleknek kapcsolatkulcsokat és s a főkulcs segíts tségével osztja ki őket

A Needham-Schroeder protokoll szimmetrikus kriptográfi fiával az eredeti alap kulcscsere protokoll kulcselosztás harmadik fél f l segíts tségével egy KDC közvetk zvetít A és B között nekik a Ka és Kb szimmetrikus kulcsokkal titkosítva tva ő generálja és s osztja ki a Ks kapcsolatkulcsot ezért benne abszolút t meg kell bíznib a protokoll: 1. A->KDC: ID A ID B N 1 2.. KDC -> A: E Ka [Ks ID B N 1 E Kb [Ks ID A ] ] 3. A -> B: E Kb [Ks ID A ] 4. B -> A: E Ks [N 2 ] 5. A -> B: E Ks [f(n 2 )]

Needham-Schroeder Protocol arra szolgál, l, hogy biztonságosan szétosszon A és B közt k egy új Ks kapcsolatkulcsot de sérülékeny s a visszajátsz tszásra, sra, ha egy korábbi Ks kapcsolatkulcs kompromittálódott a támadt madó visszajátszthatja a 3. üzenetet meggyőzve B-t,, hogy A-val kommunikál és rávéve, ve, hogy eztán n a régi r Ks-t használja a hiba kijavítása törtt rténhet: időbélyegekkel (Denning 81) még g egy nonce használat latával (Neuman 93)

Kölcsönös s hitelesítés nyilvános nos kulcsú titkosítással ssal a nyilvános nos kulcsú titkosítás s számos megközel zelítési módot m kínálk egy példp ldát t már m r láttunk l a kulcselosztásn snál de ehhez a feleknek biztosnak kell lenniük, hogy valóban a partner nyilvános nos kulcsát t birtokolják ez a feltétel tel nem mindig praktikus helyette elége egy hitelesítő szerver (Authentication Server, AS) nyilvános nos kulcsát ismerni számos protokoll van időbélyegekkel vagy nonce-okkal okkal

Titkos kulcs szétoszt tosztás nyilvános nos kulcsú kriptográfi fiával Ha már m PU A és PU B cseréje megtört rtént: N 1 és N 2 nonce = véletlen bitsorozat, a kapcsolat egyedi azonosítója

Denning AS protokoll Denning 81 protokollja a következk vetkező: 1. A -> AS: ID A ID B 2. AS -> A: E PRas [ID A PU a T] ] E PRas [ID B PU b T] 3. A -> B: E PRas [ID A PU a T] ] E PRas [ID B PU b T] ] PUb [E PRA [K s T]] E PUb [E PR észrevétel: a K s kapcsolatkulcsot A választja, így nem kell AS-ben megbíznia a megőrz rzéséhez az időbélyegek megóvnak a visszajátsz tszástól, de az órák k szinkronizálása sa kell hozzájuk

Egyirány nyú hitelesítés (One-Way Authentication) akkor szüks kséges, ha a feladó és s a címzett c nem egyidőben érintkezik, pl. e-maileze mailezés s esetén a,,boríték = az e-mail e fejléce szabadon olvasható kell, hogy legyen a postázáshoz shoz de az üzenet külön-külön k n lehet titkos és/vagy hiteles (vagyis a feladó által aláí áírt)

Szimmetrikus titkosítással ssal A címzettnek c (B) nem kell online lennie: 1. A->KDC: ID A ID B N 1 2.. KDC -> A: E Ka [Ks ID B N 1 E Kb [Ks ID A ] ] 3. A -> B: E Kb [Ks ID A ] E Ks [M] ez nem véd v d a visszajátsz tszástól alkalmazhatnánk nk időbélyegeket, de az e-mailek átjutásának időnk nként nt nagyobb várakozási ideje ezt problematikussá teszik.

Nyilvános kulcsú titkosítással ssal már r láttunk l néhány n ny megközel zelítést ha a bizalmasság g a főf szempont, akkor pl: A->B: E PUb [Ks] ] E Ks [M] vagyis titksosított tott kapcsolatkulcs, majd az üzenetet vele titkosítva tva ha csak hitelesítésre sre van szüks kség pl: A->B: M E PRa [H(M)] E PRas [T ID A PU a ] vagyis üzenet, aláí áírás, tanúsítv tvány (AS( AS-től)

A digitális aláí áírási szabvány Digital Signature Standard (DSS) az USA kormányzata által elfogadott aláí áírási séma tervezői: NIST & NSA szabvány: FIPS-186 (1991) felülvizsg lvizsgálva: lva: 1993, 1996, 2000 az SHA hash algoritmusra épül a DSS a szabvány neve, DSA az algoritmusé a FIPS 186-2 2 (2000) más m s alternatívákat is kínál k az RSA-ra vagy az elliptikus görbg rbékre alapozva

A digitális aláí áírási szabvány 320 bites aláí áírást készk szít 512-1024 1024 bites biztonsággal kisebb és gyorsabb mint az RSA csak digitális aláí áírási séma, s titkosításra sra nem jój a biztonság g a diszkr zkrét logaritmus probléma nehézs zségén n alapszik az ElGamal & Schnorr sémák k variáci ciója

Az RSA-ra alapozott aláí áírás és s a DSA különbsége

A DSA paraméterei: p, q, g, x és y megosztott globális lis nyilvános nos kulcs értékek: p,q,g q legyen egy 160 bites prímsz mszám p legyen egy nagy prímsz mszám, m, melyre 2 L- 1 < p < 2 L ahol L= 512-1024 bit és 64-gyel osztható 2001-ben módosm dosítás: s: csak L=1024 és q a (p-1) egyik nagy osztója legyen g = h (p-1)/q mod p ahol h < p-1, h (p-1)/q mod p > 1 véletlen így g rendje nagy (pontosan q) ) lesz Z p -ben,, mert g q = (h (p-1)/q ) q = h (p-1) = 1 (mod p) a felhasználók k (azaz az aláí áírók) választanak egy x < q magánkulcsot és kiszámítj tják k az y = g x mod p nyilvános nos kulcsot

DSA aláí áírás s készk szítés az M üzenet aláírása két 160 bites szám lesz: r és s egy M üzenet aláírásához a küldk ldő: generál l egy véletlen v k számot, ahol k<q fontos: k-nak véletlennek kell lennie használat után n meg kell semmisíteni, teni,és újrahasználni tilos ezután így számítjuk az aláí áírást: r = (g( k mod p) mod q s = k -1 (H(M) + x r) mod q az M üzenet aláírása: (r,s) melyet az üzenettel együtt elküldhetünk

A DSA aláí áírás s ellenőrz rzése miután n az M-et és s az (r,s) aláí áírást megkapta a címzett c vagy bárki b más m s kiszámíthatja: w = s -1 mod q u1= H(M) w mod q u2= r w mod q v = (g u1 yu2 mod p) mod q ha v=r akkor az aláí áírást elfogadja a DSA helyességének bizonyítását t lásd l a szabványban FIPS 186-2 2 (11-12. 12. oldal): http://csrc.nist.gov csrc.nist.gov/publications/fips/fips186-2/fips186-2-change1.pdf

Az újabb szabványtervezet A faktorizáci ciót és így a diszkrét t logaritmus problémát t megoldó algoritmusok fejlődése miatt indokolt a nagyobb prímsz mszámokra mokra való áttérés Javaslat p és q hosszára bitekben L = 1024, N = 160 L = 2048, N = 224 L = 2048, N = 256 L = 3072, N = 256 2008 novemberében ben még m g csak tervezet a szabvány új j verziója: FIPS-186 186-3: http://csrc.nist.gov csrc.nist.gov/publications/drafts/fips_186-3/ Draft_FIPS _FIPS-186- _November200.pdf Elliptikus görbg rbék k feletti csoportokban is

Felhasznált lt irodalom William Stallings: Cryptography and Network Security,, 4th Edition, Prentice Hall, 2006. (Chapter( 13) Lawrie Brown előad adás s fólif liái i (Chapter( 13) KIKERES Fogalomtár 3.0 www.fogalomtar.hu