Achtung:

Sie haben Javascript deaktiviert!
Sie haben versucht eine Funktion zu nutzen, die nur mit Javascript möglich ist. Um sämtliche Funktionalitäten unserer Internetseite zu nutzen, aktivieren Sie bitte Javascript in Ihrem Browser.

AG Codes and Kryptographie Show image information

AG Codes and Kryptographie

Pairing-based Cryptography

Pairings are bilinear maps that enable the realization of several cryptographic primitives. Hence pairing-based cryptography offers approaches for numerous interesting problems, such as

Pairing-based cryptography was first known and utilized in the field of identity-based cryptography. Identity-based cryptography deals with special asymmetric encryption and signature schemes. In identity-based schemes, the public key can be directly derived from the owner's identity. For example, this would allow you to encrypt an email using a key locally derived from the recipient's email address. Hence there is no need for the usual process of contacting a central key authority to retrieve the recipient's public key. Instead, the key authority is used to generate the private keys, with the added benefit that it only has be contacted once by every user. Since the key authority generates all private keys in such a system, it represents an especially lucrative target for malicious attacks.

In our group, we develop new schemes in the field of pairing-based cryptography. Furthermore, we analyze implementations of such schemes with respect to efficiency and security.

Attribute-based Cryptography

Development of the so-called functional encryption schemes is one of the main visions of modern cryptography. These encryption schemes should overcome the main disadvantages of the conventional encryption schemes, namely that the data are encrypted for a certain addressee and the access to the encrypted data is all or nothing. In the context of functional encryption schemes every user receives a secret key which is provided with certain function according to the access rights of the user. The data are encrypted only once and the user learn only the evaluation of their function on data and not necessarily the data themselves. Whereas in general it is not even clear how to define the security requirements for this kind of encryption schemes, efficient encryption schemes for different restricted classes of functions are known. Attribute-based encryption (ABE) is a special case of functional encryption.

An attribute-based system requires a central authority which sets the system up and provides the user with their secret keys. In the key-policy ABE (KP-ABE), the owner of data defines a subset of predefined attributes for each data and encrypts it once using this set. In order to provide access to the encrypted data, every user in the system receives a user secret key provided with an access policy according to the rights of the user. The key policies are Boolean formulas over the predefined attributes. A user will be able to decrypt a ciphertext if and only if the attributes of the ciphertext satisfy the policy of his/her key. In the ciphertext-policy ABE (CP-ABE) the roles of attributes and policies are reversed. That is, the data are encrypted under the access policies and the keys are provided with sets of attributes. Systems based on ABE have to model the access rights of the user in terms of attributes and access policies depending on concrete scenarios and concrete access pattern.

In our example, the manager of Map Data Center wants to ensure a fine-grained access control to the road maps for its customers (routing services). Therefore, restricting access to the full data base, to the maps of continents, and to the maps of each single country will be realized. Each map is encrypted once with an appropriate policy. For example, the map of Germany's roads is encrypted with the policy "World OR Europe OR Germany". Every customer who gets a key with one of the attributes "World", "Europe", or "Germany" will be able to decrypt the appropriate ciphertext and obtain access to Germany's road maps. Thus, the access control is managed by the encryption itself.

Anonymous Group Signatures and Reputation Systems

In standard signature schemes, the sender computes a signature on his message using his secret key. The receiver can check, using the signature and the sender's public key, that the message was indeed composed by the sender and that it was not modified in transit. To achieve this, the public key must uniquely identify the sender. However, in many scenarios this strict identification is not necessary or even desirable. Whenever an application only needs assurance that the sender belongs to a certain group of possible senders, anonymous group signatures can be used.

Anonymous group signatures allow each member of a group to sign messages without disclosing their identity. For this, each group member gets their own private key that is associated to the group's public key. In contrast to standard digital signature schemes, the message receiver can only check whether some group member signed the message, but not which specific member did it. The actual signer can only be determined by a special entity in the system (the group manager).

Besides anonymity, other properties of group signatures play an important role in some applications. For example, it may be useful to restrict the number of messages that each group member can sign. Furthermore, techniques for revoking group membership are important. In particular, these and other extensions of group signatures can be used to construct anonymous reputation systems.

Reputation systems are an important tool to allow customers and providers of goods and services to gather useful information about past transactions. In order to receive trustworthy, reliable, and honest ratings, a reputation system should guarantee the customer anonymity and at the same ensure that no customer can submit more than one rating. Of course the ratings should be publicly verifiable by third parties.

Some of the required properties for reputation systems are already known for group signatures. Some, however, are not. For example, a reputation system does not consist of a single group, but rather there is a group for each rateable product (or service). For the security of reputation systems these different groups cannot be analyzed in isolation.

The goal of this research area is the extension of group signature schemes and the construction of anonymous reputation system on the basis of group signatures.

Anonymous Credential Systems

Wie können wir einem Apotheker die Rezeptbesitzerlaubnis eines Patienten versichern ohne die Identität des Patienten zu nennen? Wie können wir als Autofahrer unsere Fahrlizens beweisen, ohne unseren Namen Preis zu geben? Für die Umsetzung dieser Szenarien benötigen wir anonyme Zugangsberechtigungssysteme. In Zugangsberechtigungssystemen erwerben Nutzer attribut-zertifizierte Zugangsberechtigungen. Diese Zugangsberechtigungen werden von Nutzern verwendet, um Zugriff auf bestimmte Ressourcen bzw. Services zu erhalten. Von besonderem Interesse sind Zugangsberechtigungssysteme, in denen Nutzern Attribute und Ressourcen-Policies über diesen Attributen zugewiesen werden. Der Nutzer kann auf eine Ressource zugreifen, wenn er nachweisen kann, dass seine Attribute die Policy der Ressource erfüllen. Wir interessieren uns für anonyme Zugangsberechtigungssysteme, deren Ressourcen-Policies besonders komplexe Strukturen besitzen, sogenannte feingranulare Zugangsberechtigungssysteme.

Damit ein Zugangsberechtigungssystem sicher ist, soll der Ressourcenzugriff eines Nutzers möglich sein, ohne die Identität dieses Nutzers zu erkennen. Neben der Anonymität der Nutzer soll auch garantiert werden, dass verschiedene Nutzer ihre Attribute nicht kombinieren können, um Zugriff auf eine Ressource zu bekommen. Für die Konstruktion sicherer Zugangsberechtigungssysteme, werden u.a. auf Paarungen basierte digitale Signaturverfahren verwendet.

Das Ziel dieses Forschungsbereichs ist die mathematisch-beweisbare Konstruktion sicherer feingranularer Zugangsberechtigungssysteme.

Secure and Efficient Implementations

In den vergangenen Jahren wurden aufgrund der vielzähligen Anwendungsmöglichkeiten immer effizientere Algorithmen für die Berechnung von Paarungen entwickelt. Mittlerweile lassen sich Paarungen sogar in vertretbarer Zeit auf in ihren Ressourcen beschränkten Systemen, wie zum Beispiel Chipkarten berechnen. Dies ist besonders dann interessant, wenn die geheimen Schlüssel der Verfahren physikalisch gegen Angreifer geschütz werden müssen. Einem Angreifer mit physikalischem Zugriff auf die ausführende Hardware eines Verfahrens bieten sich zahlreiche Angriffspunkte, die in den Sicherheitsbeweisen der Verfahren normalerweise nicht berücksichtigt werden. Ein solcher, sogenannter Seitenkanalangreifer könnte zum Beispiel versuchen Informationen über den geheimen Schlüssel zu erlangen, indem er aktiv die Ausführung des Algorithmus manipuliert oder passiv Messgrößen wie Energieverbrauch und Ausführungszeit beobachtet.

Der Definitionsbereich einer Paarung sind Untergruppen einer elliptischen Kurve über einem endlichen Körper. Diese Strukturen bilden auch die Grundlagen für die Elliptische Kurven Kryptographie. Auf dem Gebiet der Seitenkanalresistenz Elliptischer Kurven Kryptographie gibt es bereits viele theoretische als auch praktische Ergebnisse. Teilweise lassen diese sich auch auf die paarungsbasierte Kryptographie übertragen. So können für aktive Angriffe die Fehlermechanismen, um die Ausführung eines Algorithmus zu manipulieren aus der Elliptischen Kurven Kryptographie auch hier angewandt werden. Für passive Angriffe lassen sich ebenfalls Analysemethoden übertragen, die aus Messwerten wie beispielsweise dem Energieverbrauch interessante Informationen extrahieren. Welche Manipulationen für einen Angreifer nützlich sind, und wie man aus den gewonnenen Informationen schließlich den geheimen Schlüssel eines Verfahrens extrahiert ist jedoch nicht einfach übertragbar. Dies liegt unter anderem an der komplizierteren Struktur der verwendeten Algorithmen und an der Rolle des geheimen Schlüssels für die Berechnung.

Ziel dieses Forschungsgebiets ist es die Sicherheit von paarungsbasierten Implementierungen zu verbessern und dazu relevante Seitenkanäle zu identifizieren und durch geeignete effiziente Gegenmaßnahmen zu schließen.

Publications

  • Johannes Blömer, Peter Günther
    Effizienz und Sicherheit paarungsbasierter Kryptographie
    In: Tagungsband des 26. Fraunhofer SIT Smartcard-Workshops, 2016
  • Johannes Blömer, Gennadij Liske
    Construction of Fully CCA-Secure Predicate Encryptions from Pair Encoding Schemes
    In: CT-RSA, 2016, [DOI], [Download]
  • Johannes Blömer, Jakob Juhnke, Christina Kolb
    Anonymous and Publicly Linkable Reputation Systems
    In: Financial Cryptography and Data Security (FC), 2015, [DOI], [Download]
  • Johannes Blömer, Jakob Juhnke, Nils Löken
    Short Group Signatures with Distributed Traceability
    In: Proceedings of the Sixth International Conference on Mathematical Aspects of Computer and Information Sciences (MACIS), 2015
  • Britta Gerken
    Elektromagnetische Seitenkanalangriffe auf paarungsbasierte Kryptographie
    Master's Thesis, Paderborn University, 2015, [Download]
  • Peter Günther, Johannes Blömer
    Singular Curve Point Decompression Attack
    In: Proceedings of Fault Tolerance and Diagnosis in Cryptography (FDTC), 2015, [DOI]
  • Volker Krummel, Peter Günther
    Implementing Cryptographic Pairings on Accumulator based Smart Card Architectures
    In: Proceedings of the Sixth International Conference on Mathematical Aspects of Computer and Information Sciences (MACIS), 2015
  • Patrick Schleiter
    Constructions of Fully Secure Predicate Encryption Schemes
    Master's Thesis, Paderborn University, 2015, [Download]
  • Martin Sosniak
    Evaluation of Pairing Optimization for Embedded Platforms
    Master's Thesis, Paderborn University, 2015, [Download]
  • Johannes Blömer, Peter Günther, Gennadij Liske
    Tampering Attacks in Pairing-Based Cryptography
    In: Proceedings of Fault Tolerance and Diagnosis in Cryptography (FDTC '14), 2014, [DOI]
  • Johannes Blömer, Gennadij Liske
    Constructing CCA-secure predicate encapsulation schemes from CPA-secure schemes and universal one-way hash functions
    In: Cryptology ePrint Archive, 2014, [Download]
  • Johannes Blömer, Ricardo Gomes da Silva, Peter Günther, Juliane Krämer, Jean-Pierre Seifert
    A Practical Second-Order Fault Attack against a Real-World Pairing Implementation
    In: Proceedings of Fault Tolerance and Diagnosis in Cryptography (FDTC '14), 2014, [DOI], [Download]
  • Janek Jochheim
    Hiding software components using functional encryption
    Master's Thesis, Paderborn University, 2014, [Download]
  • Jan Lippert
    Fujisaki-Okamoto Transformation
    Bachelor's Thesis, Paderborn University, 2014, [Download]
  • Johannes Blömer, Peter Günther, Gennadij Liske
    Improved Side Channel Attacks on Pairing Based Cryptography
    In: Constructive Side-Channel Analysis and Secure Design, 2013, [DOI]
  • Johannes Blömer, Volker Krummel, Peter Günther
    Securing Critical Unattended Systems with Identity Based Cryptography - A Case Study
    In: Proceedings of the Fifth International Conference on Mathematical Aspects of Computer and Information Sciences (MACIS), 2013
  • Johannes Blömer, Gennadij Liske
    Direct Chosen-Ciphertext Secure Attribute-Based Key Encapsulations without Random Oracles
    In: Cryptology ePrint Archive, 2013, [Download]
  • Jan Bobolz
    Security Proofs for Pairing-Based Cryptography in the Generic Group Model
    Bachelor's Thesis, Paderborn University, 2013, [Download]
  • Oliver Otte
    Seitenkanalresistenz paarungsbasierter Kryptographie
    Bachelor's Thesis, Paderborn University, 2013, [Download]
  • Alina Tezer
    Verteilte Erstellung und Aktualisierung von Schlüsselservern in identitätsbasierten Verschlüsselungssystemen
    Bachelor's Thesis, Paderborn University, 2013
  • Thomas Haarhoff
    Identitätsbasierte Kryptographie - Implementierung von Paarungen für Körper der Charakteristik 2
    Bachelor's Thesis, Paderborn University, 2012, [Download]
  • Nils Löken
    Identitätsbasierte Signaturen - Ein Sicherheitsbeweis für Signaturen auf Grundlage von Gap-Diffie-Hellman-Gruppen mit Hilfe des Forking-Lemmas
    Bachelor's Thesis, Paderborn University, 2012, [Download]
  • Patrick Schleiter
    Attribute-basierte Verschlüsselung
    Bachelor's Thesis, Paderborn University, 2012, [Download]
  • Johannes Blömer, Peter Günther, Gennadij Liske
    Improved Side Channel Attacks on Pairing Based Cryptography
    In: Cryptology ePrint Archive, 2011, [Download]
  • Gennadij Liske
    Fault attacks in pairing-based cryptography
    Master's Thesis, Paderborn University, 2011, [Download]
  • Tim Postler
    Smart Card basierte Berechnung einer Gruppensignatur als Teil einer biometrischen Authentisierung
    Diploma Thesis, Paderborn University, 2010, [Download]
  • Jonas Schrieb
    Efficient and Compact CCA Security from Partitioned IBKEM
    In: Proceedings of the 3rd Western European Workshop on Research in Cryptology (WEWoRC '09), 2010
  • Gennadij Liske
    Analyse und Evaluation eines identitätsbasierten Signcryption-Verfahrens
    Bachelor's Thesis, Paderborn University, 2009, [Download]
  • Jonas Schrieb
    Construction and Applications of Identity-Based Encryption without Pairings
    Diploma Thesis, Paderborn University, 2008, [Download]

The University for the Information Society