Full paper (pdf) - CDC

Weitere Magazine

Empfehlungen

Info

• die Teilnehmer mit ihren Teilschlüsseln anschließend gemeinsam Private- Key-Operationen (Signaturen, Entschlüsselungen) durchführen können, • ein Klient, der eine Entschlüsselung oder Signatur wünscht, sich an die Teilnehmer wendet, die wiederum seine Identität und Berechtigung prüfen, • die Teilnehmer bei einer solchen Anfrage eine Teilsignatur beziehungsweise -entschlüsselung berechnen, ohne dabei untereinander oder mit jemand anderem zu kommunizieren, • die Teilnehmer ihr Ergebnis an den Klienten übermitteln, wobei bei Entschlüsselungen ein abhörsicherer Kanal zu wählen ist, • der Klient die Ergebnisse der Teilnehmer aufgrund lediglich öffentlicher Informationen und seiner Eingabe zu einer gültigen Signatur oder Entschlüsselung kombinieren kann, • eine gemeinsam erzeugte Signatur sich nicht von einer auf normale (nicht verteilte) Art entstandener Signatur unterscheiden läßt. Diese Modellierung zeichnet sich im wesentlichen durch zwei Merkmale aus, nämlich die Existenz eines vertrauenswürdigen Gebers und die fehlende Interaktion zwischen den Teilnehmern. Dies hat zur Folge, daß nur wenige Nachrichten während des Key-Sharing ausgetauscht werden müssen und die Kommunikation asynchron, zum Beispiel per Email, erfolgen kann. Eine kurze Diskussion von Modellen ohne Geber findet sich in Abschnitt 3.9. Eine weitere Folge der nicht vorhandenen Interaktion ist die Unmöglichkeit der Erzeugung von verteilten Signaturen für Verfahren, die auf diskreten Logarithmen basieren, wie etwa ElGamal (Abschnitt 3.7). Dies liegt daran, daß diese Signaturen randomisiert werden müssen, so daß eine Verteilung die Synchronisation der verwendeten Zufallszahlen notwendig macht. Verteilte Entschlüsselungen bleiben weiterhin möglich. 3.3 Das RSA-Verfahren Das erste und weitaus erfolgreichste Public-Key-Verfahren ist das von Ronald Rivest, Fiat Shamir und Leonard Adleman 1977 vorschlagene RSA-Verfahren [RSA78]. Es beruht auf dem RSA-Problem, einem mathematischen Problem, das mit dem Problem der Zerlegung großer Zahlen in ihre Primfaktoren verwandt ist. RSA hat eine enorme Verbreitung erfahren und wird heute in fast allen Public-Key-Produkten eingesetzt. Die RSA-Annahme Die Sicherheit des RSA-Verfahrens beruht auf der Annahme, daß es keinen effizienten Algorithmus gibt, um das sogenannte RSA- Problem zu lösen. Das RSA-Problem besteht darin, für eine gegebene ganze Zahl c und einen Moduln N eine ganze Zahl m zu bestimmen, so daß c ≡ m e (mod N) für einen ebenfalls bekannten Exponenten e. Dabei ist N = pq das Produkt zweier großer 19
Primzahlen, die aber nicht bekannt sind, und e ist ein sogenannter invertierbarer Exponent modulo N (das Inverse von e ist allerdings auch nicht bekannt). Eine Möglichkeit, die Zahl m zu bestimmen, besteht darin N zu faktorisieren. Dann läßt sich ein Element d berechnen mit de ≡ 1 (mod (p − 1)(q − 1)) und es gilt c d = m ed = m (mod N). Somit ist das RSA-Problem höchstens so schwierig wie das Faktorisierungsproblem. Da sich Mathematiker in den letzten 3000 Jahren vergeblich bemüht haben, einen effizienten Algorithmus zum Faktorisieren zu finden, kann man vermuten, daß dies wirklich schwierig ist. Das Hauptproblem der RSA-Annahme hingegen ist es, daß es eventuell eine andere Möglichkeit gibt, das RSA-Problem zu lösen als N zu faktorisieren. Selbst wenn das Faktorisierungsproblem schwer bleibt, könnte RSA somit gebrochen werden. Zwar ist kein solcher Algorithmus bisher bekannt, aber es konnte (im Gegensatz zum verwandten Rabin-Problem) auch nicht bewiesen werden, daß es keinen geben kann. Schlüsselerzeugung Um ein RSA-Schlüsselpaar zu erzeugen, bestimmt der Schlüsselgenerator zunächst zwei zufällige Primzahlen p und q. Daraus ergibt sich der öffentliche Modul N = pq. Die Größe (Länge der Bitdarstellung) von N bestimmt die Sicherheit des Verfahrens (und den Berechnungsaufwand). Zur Zeit gilt 1024-bit-RSA als hinreichend sicher für die meisten Anwendungen, 2048-bit-RSA wird für extrem kritische Schlüssel gefordert. Demnach haben p und q jeweils mindestens 512 Bit (sie sollten gleich groß sein). Als nächstes wählt der Generator einen öffentlichen Exponenten e mit ggT(e, (p − 1)(q − 1)) = 1. Außer dieser Bedingung muß e keine weiteren Eigenschaften besitzen. Aus Sicherheitsgründen (Low-Exponent-Attacke) sollte e nicht zu klein sein, aber ansonsten kann es zur Beschleunigung von Public-Key-Operationen stets einer kleinen Konstante gleichgesetzt werden, etwa 65537. Aufgrund der Tatsache, daß e und (p − 1)(q − 1) keine gemeinsamen Teiler besitzen, kann mit dem erweiterten Euklidschen Algorithmus der geheime Exponent d bestimmt werden, mit ed = 1 (mod (p − 1)(q − 1)). Der öffentliche Schlüssel besteht aus (e, N), der private Schlüssel ist (d, N) oder auch (sinnvoll zur Beschleunigung von Berechnungen von Private-Key- Operationen mit dem Chinesischen Restsatz) (d, p, q). Schlüsselverwendung RSA-Schlüssel lassen sich für zwei Operationen einsetzen, nämlich zur Nachrichtenverschlüsselung und für digitale Signaturen. In beiden Fällen kommt dabei eine identische Berechnungsvorschrift zum Einsatz, lediglich die Rollen von öffentlichem und privatem Schlüssel werden vertauscht. Diese Symmetrie wird sich später beim RSA-Key-Sharing als nützlich erweisen. Um eine Nachricht m für den Empfänger mit dem öffentlichen Schlüssel (e, N) zu verschlüsseln, wird sie als Zahl zwischen 1 und N − 1 aufgefaßt und 20
Seite 1 und 2: Konzepte für eine sichere Schlüss
Seite 3 und 4: Vorwort Die vorliegende Arbeit ist
Seite 5 und 6: C UML-Klassendiagramme 81 D Benutze
Seite 7 und 8: öffentlichen Schlüssel eindeutig
Seite 9 und 10: 2.1 Einfaches Secret-Sharing Eine s
Seite 11 und 12: � � t n -Secret-Sharing Die mei
Seite 13 und 14: Logarithmus log g h bezüglich des
Seite 15 und 16: • Ein Secret-Sharing-Verfahren he
Seite 17 und 18: Kapitel 3 Key-Sharing Die Sicherhei
Seite 19: (dies muß nicht unbedingt für die
Seite 23 und 24: Den Teilnehmern übermittelt er die
Seite 25 und 26: Auf diese Weise ergibt sich eine Za
Seite 27 und 28: Verfahrens (ein beweisbar sicheres
Seite 29 und 30: Schlüsselverwendung Es stellt sich
Seite 31 und 32: Schlüsselerzeugung Um ein ElGamal-
Seite 33 und 34: Die geheimen Teilexponenten ai für
Seite 35 und 36: SSL-Webserver [WMB99] und das COCA-
Seite 37 und 38: verwenden kann. Andererseits ergibt
Seite 39 und 40: mit Key-Recovery beauftragten Insti
Seite 41 und 42: SETUP Eine (reguäre) SETUP ist ein
Seite 43 und 44: heimgehalten werden, da die Chiffre
Seite 45 und 46: Kapitel 5 Implementierung Der Worte
Seite 47 und 48: KeyStore der KeyStore eignet sich z
Seite 49 und 50: entsprechende Schnittstelle für Di
Seite 51 und 52: ialisieren lassen und die Methode z
Seite 53 und 54: Abbildung 5.2: Key-Sharing-Basiskla
Seite 55 und 56: ShoupRSAPrivateKeyShare diese Klass
Seite 57 und 58: Provider dieser JCA-Provider meldet
Seite 59 und 60: Abbildung 5.4: Klassen aus dem Pake
Seite 61 und 62: Abbildung 5.6: Dialog zum Einlesen
Seite 63 und 64: UndecryptableKeyException diese Aus
Seite 65 und 66: ei der Fehlervermeidung, -suche und
Seite 67 und 68: (SecretShare[] shares, String integ
Seite 69 und 70: Keystore laden Der ShamirStore setz
Seite 71 und 72:
Keystore speichern Der KeySharer sp
Seite 73 und 74:
wird die Datei filename in shares D
Seite 75 und 76:
Dateien verschlüsseln Der KeyShare
Seite 77 und 78:
Kapitel 6 Ausblick Wir haben mit di
Seite 79 und 80:
X.509 ITU Empfehlung X.509, auch IS
Seite 81 und 82:
ElGamal a privater Exponent, wird z
Seite 88 und 89:
Anhang D Benutzerhandbuch Kommandoz
Seite 90 und 91:
Anhang E Benutzerhandbuch Programmi
Seite 92 und 93:
E.4 Der KeySharer-KeyStore Konfigur
Seite 94 und 95:
PKI, 77 Polynominterpolation, 10 Pr
Seite 96:
[FGPY97] Y. Frankel, P. Gemmell, P.
Alle anzeigen

Full paper (pdf) - CDC

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?