Zur Analyse und Struktur von Sicherheitsbegriffen

Dennis Hofheinz
2005
auf Klartexten ohne Kenntnis des jeweiligen Chiffrats so gut approximiert werden kann wie unter Kenntnis dieses Chiffrats. Zwar legt ein Chiffrat eindeutig einen Klartext fest, doch " hilft" das bei keiner effizient durchführbaren Berechnung! Obgleich semantische Sicherheit alle genannten ad-hoc-Sicherheitskriterien impliziert, wurden in [75] prinzipiell keine Chosen-Ciphertext-Angriffe betrachtet. In der Tat wurde etwa für das ElGamal-Kryptosystem aus [58] semantische Sicherheit -unter Annahme
more » ... heit -unter Annahme der Härte des Decisional-Diffie-Hellman-Problems in der verwendeten Familie von gezeigt. Und doch ist die Eignung des ElGamal-Systems für gewisse Szenarien begrenzt; es sei im folgenden ein Beispiel von Dolev u. a. aus [55] wiedergegeben. Angenommen, eine Auktion findet statt, bei der jeder Bieter dem Auktionator sein Gebot (etwa in Euro) kundtut, indem er es ihm -chiffriert mit demöffentlichen Schlüssel des Auktionators -zuruft. Der als ehrlich angenommene Auktionator entschlüsselt dann alle diese Chiffrate und verkündet das entsprechende Ergebnis. Intuitiv sollte in diesem Szenario ein " sicheres" Public-Key-Kryptosystem insbesondere gewährleisten, daß kein Bieter sein Gebot in Abhängigkeit der Gebote der anderen Bieter abgeben kann. Obwohl semantisch sicher, kann das ElGamal-System dies nicht erbringen: Erlauscht Bieter B das Gebot c A ← Encrypt(m A ) eines Bieters A, so kann er beispielsweise im Falle 10|m A mit eigenem Gebot c B := (11/10) · c A das Gebot von A um 10%überbieten. In diesem Auktionsszenario tritt der beobachtete Mißstand nicht auf bei Verwendung eines non-malleable 3 Public-Key-Kryptosystems. Dieser Sicherheitsbegriff wurde in [55] eingeführt und fordert intuitiv, daß aus einem gegebenen Chiffrat kein weiteres erzeugt werden kann, so daß die zugehörigen Klartexte in einer nicht-trivialen Relation stehen. Als weiteres Resultat wurde in [55] gezeigt, daß non-malleability schon semantische Sicherheit impliziert. Prinzipiell existieren noch einschränkendere Sicherheitsbegriffe für Public-Key-Kryptosysteme als die gerade vorgestellten, etwa der in [19] zunächst nur im " Random-Oracle-Modell" (d. h. unter Zuhilfenahme idealisierter Hashfunktionen) formulierte Begriff der " plaintext awareness". Es sind andererseits alle erwähnten Begriffe -teils im Random-Oracle-Modell -" erreichbar". Stark abhängig davon, ob der Beweis im Random-Oracle-Modell geführt wird oder nicht, und natürlich welcher Sicherheitsbegriff gefordert wird, variiert allerdings der Aufwand für bekannte " sichere" Konstruktionen beträchtlich: Zu einer Nachricht m benötigt etwa im Falle des semantisch sicheren ElGamal-Systems ein Chiffrat 2|m| Bits; fordert man semantische Sicherheit auch gegen Chosen-Ciphertext-Angriffe, benötigt ein Chiffrat etwa im diesbezüglich sicheren System [49] von Cramer und Shoup 4|m| Bits. Das unter anderem im SSL-Verfahren [129] praktisch eingesetzte und in Fujisaki u. a. [63] im Random-Oracle-Modell als semantisch sicher gegen Chosen-Ciphertext-Angriffe bewiesene " RSAES-OAEP"-Verfahren (vgl. [119]) hingegen benötigt je nach Parameterwahl etwa 1,5|m| Bits. 3Ü bersetzen könnte man dies etwa mit der Forderung nach einer Nicht-Verformbarkeit der Chiffrate. 1.2 Public-Key-Kryptographie Ein Beispiel für einen kompletten strukturellen Bruch eines Systems liefert das von Garzon und Zalcstein in [65] vorgestellte Public-Key-Kryptosystem. Das System nutzt eine durch eine ternäre Folge χ bestimmte Grigorchuk-Gruppe G χ und die Schwierigkeit des Wortproblems in G χ bei Unkenntnis von χ. G χ kann dabei als Permutationsgruppe der Pfade durch den unendlichen Binärbaum aufgefaßt werden und ist nicht endlich präsentierbar. Allerdings konnte von González Vasco, Hofheinz, Martínez und Steinwandt in [78] aufgezeigt werden, daß die vorgeschlagene Nutzung der Schwierigkeit des Wortproblems für ein Public-Key-Kryptosystem unzureichend ist: Ein logarithmisch kleiner Teil des geheimen Schlüssels ermöglicht schon Entschlüsselung beliebiger Chiffrate. Letztlich kann so mittels einer vollständigen Sucheüber einen hinreichend großen (aber dennoch logarithmisch kleinen) Teilschlüssel einäquivalenter geheimer Schlüssel gefunden werden. Dies ist insofern bemerkenswert, als daß das System damit allein unter Kenntnis desöffentlichen Schlüssels vollständig strukturell gebrochen wird. Umgekehrt kann auch versucht werden, allein das zugrundeliegende Problem eines Public-Key-Kryptosystems anzugreifen: Hier seien als Beispiel die Systeme aus Ko u. a. [97] und Anshel u. a. [3], Anshel u. a. [2], deren Sicherheit auf der Schwierigkeit des Konjugationsproblems in Zopfgruppen fußt, genannt. Das Konjugationsproblem in Zopfgruppen kann -für die in [97, 3, 2] vorgeschlagene Wahl der Instanzen -mittels eines in Hofheinz und Steinwandt [89] entwickelten Algorithmus gelöst werden. Die Güte dieses heuristischen Algorithmus konnte zudem in [89] experimentell verifiziert werden. Insbesondere konnte die in [97, 3, 2] vorgeschlagene Wahl der Instanzen des Konjugationsproblems erstmals als nicht hinreichend gezeigt werden. Erst die späteren Arbeiten Dehornoy [53], Sibert [128] schlagen einen Weg vor, den Angriff aus [89] zu umgehen. Beachtenswert hierbei ist, daß das System [97] im Random-Oracle-Modell von Ko u. a. in [96] als semantisch sicher gezeigt werden konnte; jedoch wurde dabei die Härte des Decisional-Diffie-Hellman-Problems in Zopfgruppen vorausgesetzt. Diese Annahme ist, wie [89] zeigt, bei vorgeschlagener Instanzenwahl nicht gerechtfertigt. 4 1.3.2 Bit Commitment Für Mehrparteienprotokolle zur sicheren Funktionsauswertung (etwa allgemeine Konstruktionen wie Goldreich u. a. [73]) wird als Grundbaustein vielfach die Primitive " Bit Commitment" verwendet. Dabei handelt es sich um einen Baustein, der informell folgende Protokollaufgabe erfüllt: 1. In der ersten Phase legt sich der Committer auf ein Bit b fest (ohne daß eine Details wie der expliziten Berücksichtigung des Kontrollflusses und der Netzwerkmodellierung formulieren zu können, um den " intuitiven" Beweisgedanken klarer hervortreten zu lassen. Es kann allerdings in Hofheinz und Müller-Quade [82] (diese Arbeit wird in Kapitel 5 vorgestellt) ein starkes Indiz dafür gegeben werden, daß diese Hoffnung nicht berechtigt ist. Genauer zeigt [82], daß die Primitive " Oblivious Transfer" nicht vollständig für allgemeine, simulierbar sicher zu realisierende Protokollaufgaben ist, sobald das zugrundegelegte Netzwerk verläßlich ist. Andererseits wurde in Canetti u. a. [39] bewiesen, daß Oblivious Transfer sehr wohl vollständig ist, wenn das Netzwerk als asynchron modelliert ist. (D. h. jede Protokollaufgabe, welche gewissen technischen Randbedingungen genügt, kann unter Zuhilfenahme von Oblivious-Transfer-Bausteinen asynchron realisiert werden.) Die Arbeit [82] zeigt also, daß sogar Vollständigkeitsaussagen für Primitiven vom Typ des verwendeten Netzwerks abhängen können. 7 7 Weitere Zusammenhänge zwischen verschiedenen Netzwerkmodellierungen wurden in Backes, Hofheinz, Müller-Quade und Unruh [8] in dem sehr vielseitigen Modell [117, 11] in ausführlicher Weise untersucht.
doi:10.5445/ir/1000003456 fatcat:f6gufl6okzaidhpy7ftqcwogsy