Authentifikation

Question 1

Schutzziel von Hashfunktionen / MACs

Answer 1

Authentizität und Integrität

Question 2

Hashfunktionen - Idee

Answer 2

• Berechne Prüfsumme einer Nachricht
• Übertrage (kurze) Prüfsumme über sicheren Kanal
• Übertrage (lange) Nachricht über unsicheren Kanal
• Empfänger prüft, ob Prüfsumme zur Nachricht passt

Question 3

Hashfunktion

Answer 3

Verwandelt Input beliebiger Länge in ein Output fester Länge

Question 4

Kryptographische Hashfunktion

Answer 4

Verwandelt Input beliebiger Länge in ein Output fester Länge. Unter Berücksichtigung von Sicherheitseigenschaften:

• Einwegfunktion (one-wayness)
• schwache Kollisionsresistens (2nd preimage resistance)
• starke Kollisionsresistenz (collision resistance)

Question 5

Ideale Hashfunktion - Definition

Answer 5

Eine Hashfunktion heißt sicher, wenn sie keine Eigenscharten besitzt, die man nicht auch von einer zufällig ausgewürfelten Funktion f:{0,1}^* -> {0,1}^n erwarten würde. -> IDEALE HASHFUNKTION

Question 6

Hashfunktionen - Kollisionen - Allgemein

Answer 6

Die Definitonsmenge der Hashfunktion ist deutlich größer als ihr Wertebereich. Für jeden Wert aus dem Wertebereich gibt es im Grunde unendliche viele Inputwerte. Es muss also Kollisionen geben. Sicherheitsrelevant ist lediglich, dass es schwer sein soll, eine Kollision zu FINDEN. Auch gegen eine ideale Hashfunktion kann man Kollisionen suchen.

Question 7

schwache Kollisionsresistens (2nd preimage resistance)

Answer 7

gegeben: Nachricht X

Es soll unmöglich sein, ein X’ zu finden mit H(X)=H(X’)

Question 8

starke Kollisionsresistenz (collision resistance)

Answer 8

Es soll unmöglich sein, beliebige X und X’ zu finden mit H(X)=H(X’) und X!=X

Question 9

Geburtstagsparadoxon

Answer 9

Bei s möglichen Werten: Man kann davon ausgehen, dass nach Wurzel(s) Versuchen eine Kollision auftritt.

Wenn eine Hashfunktion eine Outputlänge von 64 Bit hat, kann man nach Wurzel(2^64) = 2^32 Versuchen eine Kollision erwarten.

Question 10

Hashfunktionen - Kollisionen - Ausnutzen

Answer 10

Wenn eine Hashfunktion keine starke Kollisionsresistenz aufweist, kann der Angreifer die Nachricht VOR dem Versenden austauschen (Angreifer muss Alice sein)

Wenn eine Hashfunktion nicht mal schwache Kollisionsresistenz aufweist, kann der Angreifer die Nachricht NACH dem Versenden ersetzen.

Kollisionen aus Zufallsstrings sind ebenfalls relevant, da in RSA-Zertifikaten oder programmierbaren Dokumenten Schaden angerichtet werden kann.

Question 11

iterative Hashfunktionen

Answer 11

Die Kollision eines Zwischenergebnisses kann zur Kollision des Gesamtergebnisses ausgebaut werden. LENGHT EXTENSION ATTACK

Question 12

Welche Hashfunktionen sind sicher?

Answer 12

SHA-2
SHA-3
WHIRLPOOL

Question 13

Keccak (SHA-3)

Answer 13

Sponge Construction

• ABSORPTION PHASE: Nachricht wird in inneren Zustand (1600 Bit) absorbiert
• SQUEEZING PHASE: Erst ganz am Ende wird der Output herausgepresst

Der innere Zustand ist größer als der eigentliche Output. Kollision nach 2⁸⁰⁰ Versuchen

Question 14

Was sind Message Authentication Codes

Welche gibts es?

Answer 14

• MACs sind eine Hashfunktion mit Schlüssel (keyed hash)

CBC-MAC
HMAC

Question 15

Unterschied Hash/MAC

Answer 15

Hash bietet Integrität
MAC bietet Integrität und Authentizität

MAC nutzt secret key, dh der Absender muss den key kennen. Da niemand sonst den key kennt, ist der Absender zweifelsfrei identifiziert. Außerdem kann d über unsichere Verbindung geschickt werden, da key geheim.

Hash nutzt keinen key (jeder kann hashen), daher muss d über sichere Verbindung kommuniziert werden.

Question 16

Ist bei MACs ein sicherer Kanal nötig?

Answer 16

kein sicherer Kanal nötig

Question 17

Wann heißt ein MAC sicher?

Answer 17

Wenn er keine Eigenschaften besitzt, die man nicht auch bei einem idealen MAC erwarten würde

Question 18

Angriffe gegen idealen MAC

Answer 18

BruteForce
Rate Digest
Replay-Angriff

sicher gegen Kollisionsangriffe!

Question 19

The Game

Answer 19

1) Query Phase: Angreifer wählt Nachrichten und erhält die zugehörigen Digests
2) Attack Phase: Angreifer produziert (m,d) mit m1!=m2
3) Victory Condition: Angreifer gewinnt, wenn Bob (m,d) akzeptiert, dh wenn d=MAC(m) ist.

Question 20

CBC-MAC - Angriff

Answer 20

1) Erfrage Digests für zufällige Nachrichten m1,…mn, bis eine Kollision auftritt.
2) Erfrage Digest für (mi,a) und (mj,a) und erhalte Digest d.

3) Reiche ((mj,a)d) ein. Immer richtig, wenn
MAC(mi)=MAC(mj) dann ist auch MAC(mi,a)=MAC(mj,a).

Question 21

CBC-MAC - Probleme

Answer 21

Die Nachricht kann erweitert werden bzw. verschiedene Digests kombiniert werden.

Kann durch Padding verhindert werden, z.B CBC-MAC(m || length(m))

Allgemein: Der letzte Schritt muss anders sein als alle vorherigen

Question 22

HMAC

Answer 22

CBC-MAC wird aus Hashfunktion zusammengebaut.

keyed Hash verhindert Collision Attacks
Konstanten (a,b) verhindern Lenght Extension Attack

Question 23

Fazit

Answer 23

CBC-Mac am weitesten verbreitet

Immer den Algo mit angeben, zB
CBC-MAC-AES-128
HMAC-SHA1

BruteForce, Digest raten, Replay Attacks auch gegen idealen Hash möglich

Auch Kontextinformationen authentisieren, nicht nur Nachricht!

Question 24

CBC-MAC

m||k
(k||m)

Answer 24

(m||k): Collision Attack, kann offline nach Kollisionen durchsucht werden

(k||m): Length Extension Attack. Wenn Schlüssellänge und m bekannt sind, können beliebige Nachrichten an beliebige Schlüssel gehängt werden.