Achtung:

Sie haben Javascript deaktiviert!
Sie haben versucht eine Funktion zu nutzen, die nur mit Javascript möglich ist. Um sämtliche Funktionalitäten unserer Internetseite zu nutzen, aktivieren Sie bitte Javascript in Ihrem Browser.

AG Codes and Kryptographie Bildinformationen anzeigen

AG Codes and Kryptographie

Paarungsbasierte Kryptographie

Paarungen sind bilineare Abbildungen, die sich zur Realisierung verschiedener kryptographischer Primitiven eignen. Damit bietet die paarungsbasierte Kryptographie Lösungsansätze für eine Vielzahl interessanter Probleme wie zum Beispiel

Bekannt wurde die paarungsbasierte Kryptographie besonders im Zusammenhang der identitätsbasierten Kryptographie. Hier handelt es sich um spezielle asymmetrische Verschlüsselungs- und Signaturverfahren. Die Besonderheit liegt in der Beschaffenheit des öffentlichen Schlüssels, der sich direkt aus der Identität des Besitzers ableiten lässt. So könnte beispielsweise eine Email mit einem, aus der Empfängeradresse abgeleiteten Schlüssel verschlüsselt werden. So entfällt die Kontaktierung eines zentralen Schlüsselcenters auf Seiten des Absenders. Das Schlüsselcenter wird stattdessen für die Generierung der privaten Schlüssel benötigt, muss also für jeden Teilnehmer nur einmal kontaktiert werden. Da das Schlüsselcenter alle privaten Schlüssel des Systems generiert, stellt es einen besonders empfindlichen Angriffspunkt dar.

Wir beschäftigen uns hier mit der Entwicklung weiterer Verfahren im Bereich der paarungsbasierten  Kryptographie. Weiterhin untersuchen wir die Implementierungen dieser Verfahren hinsichtlich Effizienz und Sicherheit.

Attributbasierte Kryptographie

Eine der größten Visionen moderner Kryptographie ist die Entwicklung der sogenannten Funktionalen Verschlüsselungsverfahren. Anders als bei herkömmlichen Verschlüsselungsverfahren, bei denen man eine Nachricht bzw. Daten für einen gewissen Empfänger verschlüsselt, bekommt jeder Nutzer bei den Funktionalen Verschlüsselungen einen privaten Schlüssel zu einer bestimmten Funktion, die seine Berechtigungen bestimmt. Die Nachricht wird dann einmalig verschlüsselt und jeder Nutzer lernt nicht die verschlüsselte Nachricht, sondern nur die Auswertung seiner Funktion an dieser Nachricht. Während man für allgemeine Funktionen schon bei der Definition der Sicherheit auf Probleme stößt, existieren voll funktionale Verschlüsselungsverfahren für viele Spezialfälle wie identitätsbasierte, attributbasierte, prädikatbasierte Verschlüsselungsverfahren und viele andere.

Bei den sogenannten Key-Policy Attributbasierten Verschlüsselungsverfahren (KP-ABE) werden die Daten unter einer Menge von Attributen, welche die Daten bzw. die erlaubten Zugriffe darauf im gewissen Sinne beschreiben, verschlüsselt. Die Nutzer des Systems erhalten von der zentralen Instanz wiederum die geheimen Schlüssel, die deren Berechtigungen entsprechen. Vereinfacht, kann man sich so eine Berechtigung (Policy) als eine boolesche Formel über den Attributen des Systems vorstellen. Nur wenn die Attribute des Chiphertextes zu den Berechtigungen des Nutzers passen (d.h. die boolesche Formel ist durch die Attribute erfüllt), kann der Nutzer die verschlüsselte Nachricht mit Hilfe des geheimen Schlüssels komplett entschlüsseln. Bei den sogenannten Ciphertext-Policy Attributbasierten Verschlüsselungsverfahren (CP-ABE) sind wiederum die geheimen Schlüssel mit den Attributen versehen, während unter einer Policy verschlüsselt wird.

In dem folgenden Beispiel möchte ein Kartenanbieter feingranulare Zugriffe auf das Kartenmaterial realisieren. Dazu werden die einzelnen Karten unter den entsprechenden Policies (CP-ABE) verschlüsselt und auf einem öffentlich zugänglichen Datenserver zur Verfügung gestellt. Die Karte von Deutschland könnte man z.B. unter der Policy “World OR Europe OR Germany” verschlüsseln. Nun kann der Kartenanbieter seinen Kunden (z.B. Routing Anbietern) verschiedene Pakete anbieten. Je nach eingekauftem Produkt bekommt der Kunde einen passenden Schlüssel und somit den Zugang zum Kartenmaterial. Somit kann die Zugriffskontrolle durch die Verschlüsselung realisiert werden.

Anonyme Gruppensignaturen und Reputationssysteme

Bei klassischen digitalen Signaturverfahren berechnet ein Sender zu einer Nachricht eine Signatur, unter Verwendung eines geheimen Schlüssels. Mit Hilfe der Signatur und des öffentlichen Schlüssels des Senders kann ein Empfänger der Nachricht überprüfen, ob die Nachricht wirklich vom angegebenen Sender stammt oder ob sie verfälscht wurde. Um dies zu erreichen, muss der öffentliche Schlüssel zweifelsfrei dem Sender zugeordnet werden können. Diese Indentifizierbarkeit ist allerdings in vielen Anwendungen nicht nötig oder gar unerwünscht. Sobald es für eine Anwendung ausreichend ist zu wissen, dass ein Sender einer gewissen Gruppe angehört, können anonyme Gruppensignaturen verwendet werden.

Anonyme Gruppensignaturen erlauben es Gruppenmitgliedern Nachrichten zu signieren, ohne dass sie ihre Identität offenbaren müssen. Hierzu erhält jedes Gruppenmitglied einen eigenen privaten Schlüssel, der zu einem öffentlichen Gruppenschlüssel passt. Im Gegensatz zu klassischen digitalen Signaturen kann von Nachrichtenempfängern nur noch überprüft werden, ob ein Gruppenmitglied eine Nachricht signiert hat, jedoch nicht bestimmen, welches Gruppenmitglied eine Nachricht signiert hat. Diese Möglichkeit hat nur ein ausgewiesener Gruppenmanager.
Neben der Anonymität spielen, je nach Anwendungsfall, auch andere Eigenschaften von Gruppensignaturen eine wichtige Rolle. Zum Beispiel kann es sinnvoll sein, Gruppenmitgliedern zu verbieten, mehr als eine bestimmte Anzahl an Nachrichten zu signieren. Ebenfalls wichtig sind Techniken zum Widerruf der Gruppenmitgliedschaft. Diese und andere Erweiterungen von Gruppensignaturen können unter anderen dazu genutzt werden, anonyme Reputationssysteme zu konstruieren.

Reputationssysteme sind ein wichtiges Werkzeug, um Kunden und Anbietern von Waren oder Dienstleistungen wertvolle Informationen über frühere Transaktionen zu geben. Um vertrauenswürdige, zuverlässige und ehrliche Bewertungen zu erhalten, sollte ein Reputationssystem die Identität von Kunden schützen und gleichzeitig verhindern, dass Mehrfachbewertungen möglich sind. Selbstverständlich müssen die Bewertungen auch von Außenstehenden überprüft werden können.
Einige der geforderten Eigenschaften für Reputationssysteme sind von Gruppensignaturen bereits bekannt. Allerdings erfüllen sie nicht alle Anforderungen von Reputationssystemen. Diese bestehen nicht aus einer Gruppe - vielmehr gibt es für jedes zu bewertende Produkt (bzw. Dienstleistung) eine Gruppe. Bei der Betrachtung von Sicherheit solcher Systeme können also verschiedene Gruppensignaturen nicht in Isolation betrachtet werden.

Ziel dieses Forschungsbereiches ist die Erweiterung von Gruppensignaturverfahren und die Konstruktion von anonymen Reputationssystemen auf der Basis von Gruppensignaturen.

Feingranuläre Zugangsberechtigungssysteme (Anonymous Credential Systems)

Wie können wir einem Apotheker die Rezeptbesitzerlaubnis eines Patienten versichern ohne die Identität des Patienten zu nennen? Wie können wir als Autofahrer unsere Fahrlizens beweisen, ohne unseren Namen Preis zu geben? Für die Umsetzung dieser Szenarien benötigen wir anonyme Zugangsberechtigungssysteme. In Zugangsberechtigungssystemen erwerben Nutzer attribut-zertifizierte Zugangsberechtigungen. Diese Zugangsberechtigungen werden von Nutzern verwendet, um Zugriff auf bestimmte Ressourcen bzw. Services zu erhalten. Von besonderem Interesse sind Zugangsberechtigungssysteme, in denen Nutzern Attribute und Ressourcen-Policies über diesen Attributen zugewiesen werden. Der Nutzer kann auf eine Ressource zugreifen, wenn er nachweisen kann, dass seine Attribute die Policy der Ressource erfüllen. Wir interessieren uns für anonyme Zugangsberechtigungssysteme, deren Ressourcen-Policies besonders komplexe Strukturen besitzen, sogenannte feingranulare Zugangsberechtigungssysteme.

Damit ein Zugangsberechtigungssystem sicher ist, soll der Ressourcenzugriff eines Nutzers möglich sein, ohne die Identität dieses Nutzers zu erkennen. Neben der Anonymität der Nutzer soll auch garantiert werden, dass verschiedene Nutzer ihre Attribute nicht kombinieren können, um Zugriff auf eine Ressource zu bekommen. Für die Konstruktion sicherer Zugangsberechtigungssysteme, werden u.a. auf Paarungen basierte digitale Signaturverfahren verwendet.

Das Ziel dieses Forschungsbereichs ist die mathematisch-beweisbare Konstruktion sicherer feingranularer Zugangsberechtigungssysteme.

Sichere und effiziente Implementierung

In den vergangenen Jahren wurden aufgrund der vielzähligen Anwendungsmöglichkeiten immer effizientere Algorithmen für die Berechnung von Paarungen entwickelt. Mittlerweile lassen sich Paarungen sogar in vertretbarer Zeit auf in ihren Ressourcen beschränkten Systemen, wie zum Beispiel Chipkarten berechnen. Dies ist besonders dann interessant, wenn die geheimen Schlüssel der Verfahren physikalisch gegen Angreifer geschütz werden müssen. Einem Angreifer mit physikalischem Zugriff auf die ausführende Hardware eines Verfahrens bieten sich zahlreiche Angriffspunkte, die in den Sicherheitsbeweisen der Verfahren normalerweise nicht berücksichtigt werden. Ein solcher, sogenannter Seitenkanalangreifer könnte zum Beispiel versuchen Informationen über den geheimen Schlüssel zu erlangen, indem er aktiv die Ausführung des Algorithmus manipuliert oder passiv Messgrößen wie Energieverbrauch und Ausführungszeit beobachtet.

Der Definitionsbereich einer Paarung sind Untergruppen einer elliptischen Kurve über einem endlichen Körper. Diese Strukturen bilden auch die Grundlagen für die Elliptische Kurven Kryptographie. Auf dem Gebiet der Seitenkanalresistenz Elliptischer Kurven Kryptographie gibt es bereits viele theoretische als auch praktische Ergebnisse. Teilweise lassen diese sich auch auf die paarungsbasierte Kryptographie übertragen. So können für aktive Angriffe die Fehlermechanismen, um die Ausführung eines Algorithmus zu manipulieren aus der Elliptischen Kurven Kryptographie auch hier angewandt werden. Für passive Angriffe lassen sich ebenfalls Analysemethoden übertragen, die aus Messwerten wie beispielsweise dem Energieverbrauch interessante Informationen extrahieren. Welche Manipulationen für einen Angreifer nützlich sind, und wie man aus den gewonnenen Informationen schließlich den geheimen Schlüssel eines Verfahrens extrahiert ist jedoch nicht einfach übertragbar. Dies liegt unter anderem an der komplizierteren Struktur der verwendeten Algorithmen und an der Rolle des geheimen Schlüssels für die Berechnung.

Ziel dieses Forschungsgebiets ist es die Sicherheit von paarungsbasierten Implementierungen zu verbessern und dazu relevante Seitenkanäle zu identifizieren und durch geeignete effiziente Gegenmaßnahmen zu schließen.

Publikationen

  • Johannes Blömer, Peter Günther
    Effizienz und Sicherheit paarungsbasierter Kryptographie
    In: Tagungsband des 26. Fraunhofer SIT Smartcard-Workshops, 2016
  • Johannes Blömer, Gennadij Liske
    Construction of Fully CCA-Secure Predicate Encryptions from Pair Encoding Schemes
    In: CT-RSA, 2016, [DOI], [Download]
  • Johannes Blömer, Jakob Juhnke, Christina Kolb
    Anonymous and Publicly Linkable Reputation Systems
    In: Financial Cryptography and Data Security (FC), 2015, [DOI], [Download]
  • Johannes Blömer, Jakob Juhnke, Nils Löken
    Short Group Signatures with Distributed Traceability
    In: Proceedings of the Sixth International Conference on Mathematical Aspects of Computer and Information Sciences (MACIS), 2015
  • Britta Gerken
    Elektromagnetische Seitenkanalangriffe auf paarungsbasierte Kryptographie
    Master's Thesis, Paderborn University, 2015, [Download]
  • Peter Günther, Johannes Blömer
    Singular Curve Point Decompression Attack
    In: Proceedings of Fault Tolerance and Diagnosis in Cryptography (FDTC), 2015, [DOI]
  • Volker Krummel, Peter Günther
    Implementing Cryptographic Pairings on Accumulator based Smart Card Architectures
    In: Proceedings of the Sixth International Conference on Mathematical Aspects of Computer and Information Sciences (MACIS), 2015
  • Patrick Schleiter
    Constructions of Fully Secure Predicate Encryption Schemes
    Master's Thesis, Paderborn University, 2015, [Download]
  • Martin Sosniak
    Evaluation of Pairing Optimization for Embedded Platforms
    Master's Thesis, Paderborn University, 2015, [Download]
  • Johannes Blömer, Peter Günther, Gennadij Liske
    Tampering Attacks in Pairing-Based Cryptography
    In: Proceedings of Fault Tolerance and Diagnosis in Cryptography (FDTC '14), 2014, [DOI]
  • Johannes Blömer, Gennadij Liske
    Constructing CCA-secure predicate encapsulation schemes from CPA-secure schemes and universal one-way hash functions
    In: Cryptology ePrint Archive, 2014, [Download]
  • Johannes Blömer, Ricardo Gomes da Silva, Peter Günther, Juliane Krämer, Jean-Pierre Seifert
    A Practical Second-Order Fault Attack against a Real-World Pairing Implementation
    In: Proceedings of Fault Tolerance and Diagnosis in Cryptography (FDTC '14), 2014, [DOI], [Download]
  • Janek Jochheim
    Hiding software components using functional encryption
    Master's Thesis, Paderborn University, 2014, [Download]
  • Jan Lippert
    Fujisaki-Okamoto Transformation
    Bachelor's Thesis, Paderborn University, 2014, [Download]
  • Johannes Blömer, Peter Günther, Gennadij Liske
    Improved Side Channel Attacks on Pairing Based Cryptography
    In: Constructive Side-Channel Analysis and Secure Design, 2013, [DOI]
  • Johannes Blömer, Volker Krummel, Peter Günther
    Securing Critical Unattended Systems with Identity Based Cryptography - A Case Study
    In: Proceedings of the Fifth International Conference on Mathematical Aspects of Computer and Information Sciences (MACIS), 2013
  • Johannes Blömer, Gennadij Liske
    Direct Chosen-Ciphertext Secure Attribute-Based Key Encapsulations without Random Oracles
    In: Cryptology ePrint Archive, 2013, [Download]
  • Jan Bobolz
    Security Proofs for Pairing-Based Cryptography in the Generic Group Model
    Bachelor's Thesis, Paderborn University, 2013, [Download]
  • Oliver Otte
    Seitenkanalresistenz paarungsbasierter Kryptographie
    Bachelor's Thesis, Paderborn University, 2013, [Download]
  • Alina Tezer
    Verteilte Erstellung und Aktualisierung von Schlüsselservern in identitätsbasierten Verschlüsselungssystemen
    Bachelor's Thesis, Paderborn University, 2013
  • Thomas Haarhoff
    Identitätsbasierte Kryptographie - Implementierung von Paarungen für Körper der Charakteristik 2
    Bachelor's Thesis, Paderborn University, 2012, [Download]
  • Nils Löken
    Identitätsbasierte Signaturen - Ein Sicherheitsbeweis für Signaturen auf Grundlage von Gap-Diffie-Hellman-Gruppen mit Hilfe des Forking-Lemmas
    Bachelor's Thesis, Paderborn University, 2012, [Download]
  • Patrick Schleiter
    Attribute-basierte Verschlüsselung
    Bachelor's Thesis, Paderborn University, 2012, [Download]
  • Johannes Blömer, Peter Günther, Gennadij Liske
    Improved Side Channel Attacks on Pairing Based Cryptography
    In: Cryptology ePrint Archive, 2011, [Download]
  • Gennadij Liske
    Fault attacks in pairing-based cryptography
    Master's Thesis, Paderborn University, 2011, [Download]
  • Tim Postler
    Smart Card basierte Berechnung einer Gruppensignatur als Teil einer biometrischen Authentisierung
    Diploma Thesis, Paderborn University, 2010, [Download]
  • Jonas Schrieb
    Efficient and Compact CCA Security from Partitioned IBKEM
    In: Proceedings of the 3rd Western European Workshop on Research in Cryptology (WEWoRC '09), 2010
  • Gennadij Liske
    Analyse und Evaluation eines identitätsbasierten Signcryption-Verfahrens
    Bachelor's Thesis, Paderborn University, 2009, [Download]
  • Jonas Schrieb
    Construction and Applications of Identity-Based Encryption without Pairings
    Diploma Thesis, Paderborn University, 2008, [Download]

Die Universität der Informationsgesellschaft