Paa­rungs­ba­sier­te Kryp­to­gra­phie

Eine der größten Visionen moderner Kryptographie ist die Entwicklung der sogenannten Funktionalen Verschlüsselungsverfahren. Anders als bei herkömmlichen Verschlüsselungsverfahren, bei denen man eine Nachricht bzw. Daten für einen gewissen Empfänger verschlüsselt, bekommt jeder Nutzer bei den Funktionalen Verschlüsselungen einen privaten Schlüssel zu einer bestimmten Funktion, die seine Berechtigungen bestimmt. Die Nachricht wird dann einmalig verschlüsselt und jeder Nutzer lernt nicht die verschlüsselte Nachricht, sondern nur die Auswertung seiner Funktion an dieser Nachricht. Während man für allgemeine Funktionen schon bei der Definition der Sicherheit auf Probleme stößt, existieren voll funktionale Verschlüsselungsverfahren für viele Spezialfälle wie identitätsbasierte, attributbasierte, prädikatbasierte Verschlüsselungsverfahren und viele andere.

Bei den sogenannten Key-Policy Attributbasierten Verschlüsselungsverfahren (KP-ABE) werden die Daten unter einer Menge von Attributen, welche die Daten bzw. die erlaubten Zugriffe darauf im gewissen Sinne beschreiben, verschlüsselt. Die Nutzer des Systems erhalten von der zentralen Instanz wiederum die geheimen Schlüssel, die deren Berechtigungen entsprechen. Vereinfacht, kann man sich so eine Berechtigung (Policy) als eine boolesche Formel über den Attributen des Systems vorstellen. Nur wenn die Attribute des Chiphertextes zu den Berechtigungen des Nutzers passen (d.h. die boolesche Formel ist durch die Attribute erfüllt), kann der Nutzer die verschlüsselte Nachricht mit Hilfe des geheimen Schlüssels komplett entschlüsseln. Bei den sogenannten Ciphertext-Policy Attributbasierten Verschlüsselungsverfahren (CP-ABE) sind wiederum die geheimen Schlüssel mit den Attributen versehen, während unter einer Policy verschlüsselt wird.

In dem folgenden Beispiel möchte ein Kartenanbieter feingranulare Zugriffe auf das Kartenmaterial realisieren. Dazu werden die einzelnen Karten unter den entsprechenden Policies (CP-ABE) verschlüsselt und auf einem öffentlich zugänglichen Datenserver zur Verfügung gestellt. Die Karte von Deutschland könnte man z.B. unter der Policy “World OR Europe OR Germany” verschlüsseln. Nun kann der Kartenanbieter seinen Kunden (z.B. Routing Anbietern) verschiedene Pakete anbieten. Je nach eingekauftem Produkt bekommt der Kunde einen passenden Schlüssel und somit den Zugang zum Kartenmaterial. Somit kann die Zugriffskontrolle durch die Verschlüsselung realisiert werden.

Bei klassischen digitalen Signaturverfahren berechnet ein Sender zu einer Nachricht eine Signatur, unter Verwendung eines geheimen Schlüssels. Mit Hilfe der Signatur und des öffentlichen Schlüssels des Senders kann ein Empfänger der Nachricht überprüfen, ob die Nachricht wirklich vom angegebenen Sender stammt oder ob sie verfälscht wurde. Um dies zu erreichen, muss der öffentliche Schlüssel zweifelsfrei dem Sender zugeordnet werden können. Diese Identifizierbarkeit ist allerdings in vielen Anwendungen nicht nötig oder gar unerwünscht. Sobald es für eine Anwendung ausreichend ist zu wissen, dass ein Sender einer gewissen Gruppe angehört, können anonyme Gruppensignaturen verwendet werden.

Anonyme Gruppensignaturen erlauben es Gruppenmitgliedern Nachrichten zu signieren, ohne dass sie ihre Identität offenbaren müssen. Hierzu erhält jedes Gruppenmitglied einen eigenen privaten Schlüssel, der zu einem öffentlichen Gruppenschlüssel passt. Im Gegensatz zu klassischen digitalen Signaturen kann von Nachrichtenempfängern nur noch überprüft werden, ob ein Gruppenmitglied eine Nachricht signiert hat, jedoch nicht bestimmen, welches Gruppenmitglied eine Nachricht signiert hat. Diese Möglichkeit hat nur ein ausgewiesener Gruppenmanager.
Neben der Anonymität spielen, je nach Anwendungsfall, auch andere Eigenschaften von Gruppensignaturen eine wichtige Rolle. Zum Beispiel kann es sinnvoll sein, Gruppenmitgliedern zu verbieten, mehr als eine bestimmte Anzahl an Nachrichten zu signieren. Ebenfalls wichtig sind Techniken zum Widerruf der Gruppenmitgliedschaft. Diese und andere Erweiterungen von Gruppensignaturen können unter anderen dazu genutzt werden, anonyme Reputationssysteme zu konstruieren.

Reputationssysteme sind ein wichtiges Werkzeug, um Kunden und Anbietern von Waren oder Dienstleistungen wertvolle Informationen über frühere Transaktionen zu geben. Um vertrauenswürdige, zuverlässige und ehrliche Bewertungen zu erhalten, sollte ein Reputationssystem die Identität von Kunden schützen und gleichzeitig verhindern, dass Mehrfachbewertungen möglich sind. Selbstverständlich müssen die Bewertungen auch von Außenstehenden überprüft werden können.
Einige der geforderten Eigenschaften für Reputationssysteme sind von Gruppensignaturen bereits bekannt. Allerdings erfüllen sie nicht alle Anforderungen von Reputationssystemen. Diese bestehen nicht aus einer Gruppe - vielmehr gibt es für jedes zu bewertende Produkt (bzw. Dienstleistung) eine Gruppe. Bei der Betrachtung von Sicherheit solcher Systeme können also verschiedene Gruppensignaturen nicht in Isolation betrachtet werden.

Ziel dieses Forschungsbereiches ist die Erweiterung von Gruppensignaturverfahren und die Konstruktion von anonymen Reputationssystemen auf der Basis von Gruppensignaturen.

Wie können wir einem Apotheker die Rezeptbesitzerlaubnis eines Patienten versichern ohne die Identität des Patienten zu nennen? Wie können wir als Autofahrer unsere Fahrlizens beweisen, ohne unseren Namen Preis zu geben? Für die Umsetzung dieser Szenarien benötigen wir anonyme Zugangsberechtigungssysteme. In Zugangsberechtigungssystemen erwerben Nutzer attribut-zertifizierte Zugangsberechtigungen. Diese Zugangsberechtigungen werden von Nutzern verwendet, um Zugriff auf bestimmte Ressourcen bzw. Services zu erhalten. Von besonderem Interesse sind Zugangsberechtigungssysteme, in denen Nutzern Attribute, und Ressourcen Policies über diesen Attributen zugewiesen werden. Der Nutzer kann auf eine Ressource zugreifen, wenn er nachweisen kann, dass seine Attribute die Policy der Ressource erfüllen. Wir interessieren uns für anonyme Zugangsberechtigungssysteme, deren Ressourcen-Policies besonders komplexe Strukturen besitzen, sogenannte feingranulare Zugangsberechtigungssysteme.

Damit ein Zugangsberechtigungssystem sicher ist, soll der Ressourcenzugriff eines Nutzers möglich sein, ohne die Identität dieses Nutzers zu erkennen. Neben der Anonymität der Nutzer soll auch garantiert werden, dass verschiedene Nutzer ihre Attribute nicht kombinieren können, um Zugriff auf eine Ressource zu bekommen. Für die Konstruktion sicherer Zugangsberechtigungssysteme, werden u.a. auf Paarungen basierte digitale Signaturverfahren verwendet.

Das Ziel dieses Forschungsbereichs ist die mathematisch-beweisbare Konstruktion sicherer feingranularer Zugangsberechtigungssysteme.

In den vergangenen Jahren wurden aufgrund der vielzähligen Anwendungsmöglichkeiten immer effizientere Algorithmen für die Berechnung von Paarungen entwickelt. Mittlerweile lassen sich Paarungen sogar in vertretbarer Zeit auf in ihren Ressourcen beschränkten Systemen, wie zum Beispiel Chipkarten berechnen. Dies ist besonders dann interessant, wenn die geheimen Schlüssel der Verfahren physikalisch gegen Angreifer geschütz werden müssen. Einem Angreifer mit physikalischem Zugriff auf die ausführende Hardware eines Verfahrens bieten sich zahlreiche Angriffspunkte, die in den Sicherheitsbeweisen der Verfahren normalerweise nicht berücksichtigt werden. Ein solcher, sogenannter Seitenkanalangreifer könnte zum Beispiel versuchen Informationen über den geheimen Schlüssel zu erlangen, indem er aktiv die Ausführung des Algorithmus manipuliert oder passiv Messgrößen wie Energieverbrauch und Ausführungszeit beobachtet.

Der Definitionsbereich einer Paarung sind Untergruppen einer elliptischen Kurve über einem endlichen Körper. Diese Strukturen bilden auch die Grundlagen für die Elliptische Kurven Kryptographie. Auf dem Gebiet der Seitenkanalresistenz Elliptischer Kurven Kryptographie gibt es bereits viele theoretische als auch praktische Ergebnisse. Teilweise lassen diese sich auch auf die paarungsbasierte Kryptographie übertragen. So können für aktive Angriffe die Fehlermechanismen, um die Ausführung eines Algorithmus zu manipulieren aus der Elliptischen Kurven Kryptographie auch hier angewandt werden. Für passive Angriffe lassen sich ebenfalls Analysemethoden übertragen, die aus Messwerten wie beispielsweise dem Energieverbrauch interessante Informationen extrahieren. Welche Manipulationen für einen Angreifer nützlich sind, und wie man aus den gewonnenen Informationen schließlich den geheimen Schlüssel eines Verfahrens extrahiert ist jedoch nicht einfach übertragbar. Dies liegt unter anderem an der komplizierteren Struktur der verwendeten Algorithmen und an der Rolle des geheimen Schlüssels für die Berechnung.

Ziel dieses Forschungsgebiets ist es die Sicherheit von paarungsbasierten Implementierungen zu verbessern und dazu relevante Seitenkanäle zu identifizieren und durch geeignete effiziente Gegenmaßnahmen zu schließen.