Achtung:

Sie haben Javascript deaktiviert!
Sie haben versucht eine Funktion zu nutzen, die nur mit Javascript möglich ist. Um sämtliche Funktionalitäten unserer Internetseite zu nutzen, aktivieren Sie bitte Javascript in Ihrem Browser.

AG Codes and Kryptographie Bildinformationen anzeigen

AG Codes and Kryptographie

Paarungsbasierte Kryptographie

Paarungen sind bilineare Abbildungen, die sich zur Realisierung verschiedener kryptographischer Primitiven eignen. Damit bietet die paarungsbasierte Kryptographie Lösungsansätze für eine Vielzahl interessanter Probleme wie zum Beispiel

Bekannt wurde die paarungsbasierte Kryptographie besonders im Zusammenhang der identitätsbasierten Kryptographie. Hier handelt es sich um spezielle asymmetrische Verschlüsselungs- und Signaturverfahren. Die Besonderheit liegt in der Beschaffenheit des öffentlichen Schlüssels, der sich direkt aus der Identität des Besitzers ableiten lässt. So könnte beispielsweise eine Email mit einem, aus der Empfängeradresse abgeleiteten Schlüssel verschlüsselt werden. So entfällt die Kontaktierung eines zentralen Schlüsselcenters auf Seiten des Absenders. Das Schlüsselcenter wird stattdessen für die Generierung der privaten Schlüssel benötigt, muss also für jeden Teilnehmer nur einmal kontaktiert werden. Da das Schlüsselcenter alle privaten Schlüssel des Systems generiert, stellt es einen besonders empfindlichen Angriffspunkt dar.

Wir beschäftigen uns hier mit der Entwicklung weiterer Verfahren im Bereich der paarungsbasierten  Kryptographie. Weiterhin untersuchen wir die Implementierungen dieser Verfahren hinsichtlich Effizienz und Sicherheit.

Attributbasierte Kryptographie

Eine der größten Visionen moderner Kryptographie ist die Entwicklung der sogenannten Funktionalen Verschlüsselungsverfahren. Anders als bei herkömmlichen Verschlüsselungsverfahren, bei denen man eine Nachricht bzw. Daten für einen gewissen Empfänger verschlüsselt, bekommt jeder Nutzer bei den Funktionalen Verschlüsselungen einen privaten Schlüssel zu einer bestimmten Funktion, die seine Berechtigungen bestimmt. Die Nachricht wird dann einmalig verschlüsselt und jeder Nutzer lernt nicht die verschlüsselte Nachricht, sondern nur die Auswertung seiner Funktion an dieser Nachricht. Während man für allgemeine Funktionen schon bei der Definition der Sicherheit auf Probleme stößt, existieren voll funktionale Verschlüsselungsverfahren für viele Spezialfälle wie identitätsbasierte, attributbasierte, prädikatbasierte Verschlüsselungsverfahren und viele andere.

Bei den sogenannten Key-Policy Attributbasierten Verschlüsselungsverfahren (KP-ABE) werden die Daten unter einer Menge von Attributen, welche die Daten bzw. die erlaubten Zugriffe darauf im gewissen Sinne beschreiben, verschlüsselt. Die Nutzer des Systems erhalten von der zentralen Instanz wiederum die geheimen Schlüssel, die deren Berechtigungen entsprechen. Vereinfacht, kann man sich so eine Berechtigung (Policy) als eine boolesche Formel über den Attributen des Systems vorstellen. Nur wenn die Attribute des Chiphertextes zu den Berechtigungen des Nutzers passen (d.h. die boolesche Formel ist durch die Attribute erfüllt), kann der Nutzer die verschlüsselte Nachricht mit Hilfe des geheimen Schlüssels komplett entschlüsseln. Bei den sogenannten Ciphertext-Policy Attributbasierten Verschlüsselungsverfahren (CP-ABE) sind wiederum die geheimen Schlüssel mit den Attributen versehen, während unter einer Policy verschlüsselt wird.

In dem folgenden Beispiel möchte ein Kartenanbieter feingranulare Zugriffe auf das Kartenmaterial realisieren. Dazu werden die einzelnen Karten unter den entsprechenden Policies (CP-ABE) verschlüsselt und auf einem öffentlich zugänglichen Datenserver zur Verfügung gestellt. Die Karte von Deutschland könnte man z.B. unter der Policy “World OR Europe OR Germany” verschlüsseln. Nun kann der Kartenanbieter seinen Kunden (z.B. Routing Anbietern) verschiedene Pakete anbieten. Je nach eingekauftem Produkt bekommt der Kunde einen passenden Schlüssel und somit den Zugang zum Kartenmaterial. Somit kann die Zugriffskontrolle durch die Verschlüsselung realisiert werden.

Anonyme Gruppensignaturen und Reputationssysteme

Bei klassischen digitalen Signaturverfahren berechnet ein Sender zu einer Nachricht eine Signatur, unter Verwendung eines geheimen Schlüssels. Mit Hilfe der Signatur und des öffentlichen Schlüssels des Senders kann ein Empfänger der Nachricht überprüfen, ob die Nachricht wirklich vom angegebenen Sender stammt oder ob sie verfälscht wurde. Um dies zu erreichen, muss der öffentliche Schlüssel zweifelsfrei dem Sender zugeordnet werden können. Diese Indentifizierbarkeit ist allerdings in vielen Anwendungen nicht nötig oder gar unerwünscht. Sobald es für eine Anwendung ausreichend ist zu wissen, dass ein Sender einer gewissen Gruppe angehört, können anonyme Gruppensignaturen verwendet werden.

Anonyme Gruppensignaturen erlauben es Gruppenmitgliedern Nachrichten zu signieren, ohne dass sie ihre Identität offenbaren müssen. Hierzu erhält jedes Gruppenmitglied einen eigenen privaten Schlüssel, der zu einem öffentlichen Gruppenschlüssel passt. Im Gegensatz zu klassischen digitalen Signaturen kann von Nachrichtenempfängern nur noch überprüft werden, ob ein Gruppenmitglied eine Nachricht signiert hat, jedoch nicht bestimmen, welches Gruppenmitglied eine Nachricht signiert hat. Diese Möglichkeit hat nur ein ausgewiesener Gruppenmanager.
Neben der Anonymität spielen, je nach Anwendungsfall, auch andere Eigenschaften von Gruppensignaturen eine wichtige Rolle. Zum Beispiel kann es sinnvoll sein, Gruppenmitgliedern zu verbieten, mehr als eine bestimmte Anzahl an Nachrichten zu signieren. Ebenfalls wichtig sind Techniken zum Widerruf der Gruppenmitgliedschaft. Diese und andere Erweiterungen von Gruppensignaturen können unter anderen dazu genutzt werden, anonyme Reputationssysteme zu konstruieren.

Reputationssysteme sind ein wichtiges Werkzeug, um Kunden und Anbietern von Waren oder Dienstleistungen wertvolle Informationen über frühere Transaktionen zu geben. Um vertrauenswürdige, zuverlässige und ehrliche Bewertungen zu erhalten, sollte ein Reputationssystem die Identität von Kunden schützen und gleichzeitig verhindern, dass Mehrfachbewertungen möglich sind. Selbstverständlich müssen die Bewertungen auch von Außenstehenden überprüft werden können.
Einige der geforderten Eigenschaften für Reputationssysteme sind von Gruppensignaturen bereits bekannt. Allerdings erfüllen sie nicht alle Anforderungen von Reputationssystemen. Diese bestehen nicht aus einer Gruppe - vielmehr gibt es für jedes zu bewertende Produkt (bzw. Dienstleistung) eine Gruppe. Bei der Betrachtung von Sicherheit solcher Systeme können also verschiedene Gruppensignaturen nicht in Isolation betrachtet werden.

Ziel dieses Forschungsbereiches ist die Erweiterung von Gruppensignaturverfahren und die Konstruktion von anonymen Reputationssystemen auf der Basis von Gruppensignaturen.

Feingranuläre Zugangsberechtigungssysteme (Anonymous Credential Systems)

Wie können wir einem Apotheker die Rezeptbesitzerlaubnis eines Patienten versichern ohne die Identität des Patienten zu nennen? Wie können wir als Autofahrer unsere Fahrlizens beweisen, ohne unseren Namen Preis zu geben? Für die Umsetzung dieser Szenarien benötigen wir anonyme Zugangsberechtigungssysteme. In Zugangsberechtigungssystemen erwerben Nutzer attribut-zertifizierte Zugangsberechtigungen. Diese Zugangsberechtigungen werden von Nutzern verwendet, um Zugriff auf bestimmte Ressourcen bzw. Services zu erhalten. Von besonderem Interesse sind Zugangsberechtigungssysteme, in denen Nutzern Attribute und Ressourcen-Policies über diesen Attributen zugewiesen werden. Der Nutzer kann auf eine Ressource zugreifen, wenn er nachweisen kann, dass seine Attribute die Policy der Ressource erfüllen. Wir interessieren uns für anonyme Zugangsberechtigungssysteme, deren Ressourcen-Policies besonders komplexe Strukturen besitzen, sogenannte feingranulare Zugangsberechtigungssysteme.

Damit ein Zugangsberechtigungssystem sicher ist, soll der Ressourcenzugriff eines Nutzers möglich sein, ohne die Identität dieses Nutzers zu erkennen. Neben der Anonymität der Nutzer soll auch garantiert werden, dass verschiedene Nutzer ihre Attribute nicht kombinieren können, um Zugriff auf eine Ressource zu bekommen. Für die Konstruktion sicherer Zugangsberechtigungssysteme, werden u.a. auf Paarungen basierte digitale Signaturverfahren verwendet.

Das Ziel dieses Forschungsbereichs ist die mathematisch-beweisbare Konstruktion sicherer feingranularer Zugangsberechtigungssysteme.

Sichere und effiziente Implementierung

In den vergangenen Jahren wurden aufgrund der vielzähligen Anwendungsmöglichkeiten immer effizientere Algorithmen für die Berechnung von Paarungen entwickelt. Mittlerweile lassen sich Paarungen sogar in vertretbarer Zeit auf in ihren Ressourcen beschränkten Systemen, wie zum Beispiel Chipkarten berechnen. Dies ist besonders dann interessant, wenn die geheimen Schlüssel der Verfahren physikalisch gegen Angreifer geschütz werden müssen. Einem Angreifer mit physikalischem Zugriff auf die ausführende Hardware eines Verfahrens bieten sich zahlreiche Angriffspunkte, die in den Sicherheitsbeweisen der Verfahren normalerweise nicht berücksichtigt werden. Ein solcher, sogenannter Seitenkanalangreifer könnte zum Beispiel versuchen Informationen über den geheimen Schlüssel zu erlangen, indem er aktiv die Ausführung des Algorithmus manipuliert oder passiv Messgrößen wie Energieverbrauch und Ausführungszeit beobachtet.

Der Definitionsbereich einer Paarung sind Untergruppen einer elliptischen Kurve über einem endlichen Körper. Diese Strukturen bilden auch die Grundlagen für die Elliptische Kurven Kryptographie. Auf dem Gebiet der Seitenkanalresistenz Elliptischer Kurven Kryptographie gibt es bereits viele theoretische als auch praktische Ergebnisse. Teilweise lassen diese sich auch auf die paarungsbasierte Kryptographie übertragen. So können für aktive Angriffe die Fehlermechanismen, um die Ausführung eines Algorithmus zu manipulieren aus der Elliptischen Kurven Kryptographie auch hier angewandt werden. Für passive Angriffe lassen sich ebenfalls Analysemethoden übertragen, die aus Messwerten wie beispielsweise dem Energieverbrauch interessante Informationen extrahieren. Welche Manipulationen für einen Angreifer nützlich sind, und wie man aus den gewonnenen Informationen schließlich den geheimen Schlüssel eines Verfahrens extrahiert ist jedoch nicht einfach übertragbar. Dies liegt unter anderem an der komplizierteren Struktur der verwendeten Algorithmen und an der Rolle des geheimen Schlüssels für die Berechnung.

Ziel dieses Forschungsgebiets ist es die Sicherheit von paarungsbasierten Implementierungen zu verbessern und dazu relevante Seitenkanäle zu identifizieren und durch geeignete effiziente Gegenmaßnahmen zu schließen.

Publikationen


Liste im Research Information System öffnen

2018

Cloud Architectures for Searchable Encryption

J. Blömer, N. Löken, in: Proceedings of the 13th International Conference on Availability, Reliability and Security, ARES 2018, ACM, 2018, pp. 25:1--25:10

DOI


Delegatable Attribute-based Anonymous Credentials from Dynamically Malleable Signatures

J. Blömer, J. Bobolz, in: ACNS 2018 Applied Cryptography & Network security, 2018

In this paper, we introduce the notion of delegatable attribute-based anonymous credentials (DAAC). Such systems offer fine-grained anonymous access control and they give the credential holder the ability to issue more restricted credentials to other users. In our model, credentials are parameterized with attributes that (1) express what the credential holder himself has been certified and (2) define which attributes he may issue to others. Furthermore, we present a practical construction of DAAC. For this construction, we deviate from the usual approach of embedding a certificate chain in the credential. Instead, we introduce a novel approach for which we identify a new primitive we call dynamically malleable signatures (DMS) as the main ingredient. This primitive may be of independent interest. We also give a first instantiation of DMS with efficient protocols.


Enhanced Security of Attribute-Based Signatures

J. Blömer, F. Eidens, J. Juhnke, in: The International Conference on Cryptology And Network Security (CANS), Springer, 2018, pp. 235-255


Fully-Featured Anonymous Credentials with Reputation System

K. Bemmann, J. Blömer, J. Bobolz, H. Bröcher, D. Diemert, F. Eidens, L. Eilers, J. Haltermann, J. Juhnke, B. Otour, L. Porzenheim, S. Pukrop, E. Schilling, M. Schlichtig, M. Stienemeier, in: Proceedings of the 13th International Conference on Availability, Reliability and Security - ARES '18, ACM, 2018

We present CLARC (Cryptographic Library for Anonymous Reputation and Credentials), an anonymous credentials system (ACS) combined with an anonymous reputation system. Using CLARC, users can receive attribute-based credentials from issuers. They can efficiently prove that their credentials satisfy complex (access) policies in a privacy-preserving way. This implements anonymous access control with complex policies. Furthermore, CLARC is the first ACS that is combined with an anonymous reputation system where users can anonymously rate services. A user who gets access to a service via a credential, also anonymously receives a review token to rate the service. If a user creates more than a single rating, this can be detected by anyone, preventing users from spamming ratings to sway public opinion. To evaluate feasibility of our construction, we present an open-source prototype implementation.


Practical, Anonymous, and Publicly Linkable Universally-Composable Reputation Systems

J. Blömer, F. Eidens, J. Juhnke, in: Topics in Cryptology - {CT-RSA} 2018 - The Cryptographers' Track at the {RSA} Conference 2018, Proceedings, Springer International Publishing, 2018, pp. 470-490


Voronoi Cells of Lattices with Respect to Arbitrary Norms

J. Blömer, K. Kohn, SIAM Journal on Applied Algebra and Geometry. (2018), pp. 314-338

DOI


2017

Attribute-Based Encryption as a Service for Access Control in Large-Scale Organizations

J. Blömer, P. Günther, V. Krummel, N. Löken, in: Foundations and Practice of Security, Springer International Publishing, 2017, pp. 3-17



CCA-Security for Predicate Encryption Schemes

G. Liske, Universität Paderborn, 2017

DOI


EAX - An Authenticated Encryption Mode for Block Ciphers

D. Diemert, Universität Paderborn, 2017


Instantiating a Predicate Encryption Scheme via Pair Encodings

A. Ganesh Athreya, Universität Paderborn, 2017




Subtleties in Security Definitions for Predicate Encryption with Public Index

J. Blömer, G. Liske, in: Proceedings of the International Conference of Mathematical Aspects of Computer and Information Sciences (MACIS), Springer International Publishing, 2017, pp. 438-453


2016

Commitment Schemes - Definitions, Variants, and Security

K.S. Bemmann, Universität Paderborn, 2016



Construction of Fully CCA-Secure Predicate Encryptions from Pair Encoding Schemes

J. Blömer, G. Liske, in: Proceedings of the CT-RSA 2016, 2016, pp. 431-447

This paper presents a new framework for constructing fully CCA-secure predicate encryption schemes from pair encoding schemes. Our construction is the first in the context of predicate encryption which uses the technique of well-formedness proofs known from public key encryption. The resulting constructions are simpler and more efficient compared to the schemes achieved using known generic transformations from CPA-secure to CCA-secure schemes. The reduction costs of our framework are comparable to the reduction costs of the underlying CPA-secure framework. We achieve this last result by applying the dual system encryption methodology in a novel way.


Physical attacks on pairing-based cryptography

P. Günther, Universität Paderborn, 2016




2015

A group signature scheme based on the LSRW assumption

F. Heihoff, Universität Paderborn, 2015



Anonymous and Publicly Linkable Reputation Systems

J. Blömer, J. Juhnke, C. Kolb, in: Proceedings of the 18th International Conference on Financial Cryptography and Data Security (FC), 2015, pp. 478--488

Reputation systems are used to compute and publish reputation scores for services or products. We consider reputation systems where users are allowed to rate products that they purchased previously. To obtain trustworthy reputations, they are allowed to rate these products only once. As long as users rate products once, they stay anonymous. Everybody is able to detect users deviating from the rate-products-only-once policy and the anonymity of such dishonest users can be revoked by a system manager. In this paper we present formal models for such reputation systems and their security. Based on group signatures presented by Boneh, Boyen, and Shacham we design an efficient reputation system that meets all our requirements.










Protokolle zur authentifizierten Schüsselvereinbarung

T. Eisenhofer, Universität Paderborn, 2015


Short Group Signatures with Distributed Traceability

J. Blömer, J. Juhnke, N. Löken, in: Proceedings of the Sixth International Conference on Mathematical Aspects of Computer and Information Sciences (MACIS), 2015, pp. 166-180

Group signatures, introduced by Chaum and van Heyst [15], are an important primitive in cryptography. In group signature schemes every group member can anonymously sign messages on behalf of the group. In case of disputes a dedicated opening manager is able to trace signatures - he can extract the identity of the producer of a given signature. A formal model for static group signatures schemes and their security is defined by Bellare, Micciancio, and Warinschi [4], the case of dynamic groups is considered by Bellare, Shi, and Zhang [5]. Both models define group signature schemes with a single opening manager. The main difference between these models is that the number of group members in static schemes is fixed, while in dynamic schemes group members can join the group over time.


Voronoi Cells of Lattices with Respect to Arbitrary Norms

J. Blömer, K. Kohn, Universität Paderborn, 2015

Motivated by the deterministic single exponential time algorithm of Micciancio and Voulgaris for solving the shortest and closest vector problem for the Euclidean norm, we study the geometry and complexity of Voronoi cells of lattices with respect to arbitrary norms.On the positive side, we show that for strictly convex and smooth norms the geometry of Voronoi cells of lattices in any dimension is similar to the Euclidean case, i.e., the Voronoi cells are defined by the so-called Voronoi-relevant vectors and the facets of a Voronoi cell are in one-to-one correspondence with these vectors. On the negative side, we show that combinatorially Voronoi cells for arbitrary strictly convex and smooth norms are much more complicated than in the Euclidean case.In particular, we construct a family of three-dimensional lattices whose number of Voronoi-relevant vectors with respect to the l_3-norm is unbounded.Since the algorithm of Micciancio and Voulgaris and its run time analysis crucially dependonthefactthatfortheEuclidean normthenumber of Voronoi-relevant vectors is single exponential in the lattice dimension, this indicates that the techniques of Micciancio and Voulgaris cannot be extended to achieve deterministic single exponential time algorithms for lattice problems with respect to arbitrary l_p-norms.


2014

A Practical Second-Order Fault Attack against a Real-World Pairing Implementation

J. Blömer, R. Gomes da Silva, P. Günther, J. Krämer, J. Seifert, in: Proceedings of Fault Tolerance and Diagnosis in Cryptography(FDTC), 2014, pp. 123--136

Several fault attacks against pairing-based cryptography have been described theoretically in recent years. Interestingly, none of these have been practically evaluated. We accomplished this task and prove that fault attacks against pairing-based cryptography are indeed possible and are even practical — thus posing a serious threat. Moreover, we successfully conducted a second-order fault attack against an open source implementation of the eta pairing on an AVR XMEGA A1. We injected the first fault into the computation of the Miller Algorithm and applied the second fault to skip the final exponentiation completely. We introduce a low-cost setup that allowed us to generate multiple independent faults in one computation. The setup implements these faults by clock glitches which induce instruction skips. With this setup we conducted the first practical fault attack against a complete pairing computation.


Constructing CCA-secure predicate encapsulation schemes from CPA-secure schemes and universal one-way hash functions

J. Blömer, G. Liske, 2014

We present a new transformation of chosen-plaintext secure predicate encryption schemes with public index into chosen-ciphertext secure schemes. Our construction requires only a universal one-way hash function and is selectively secure in the standard model. The transformation is not generic but can be applied to various existing schemes constructed from bilinear groups. Using common structural properties of these schemes we provide an efficient and simple transformation without overhead in form of one-time signatures or message authentication codes as required in the known generic transformations.


Fujisaki-Okamoto Transformation

J. Lippert, Universität Paderborn, 2014


Group Signature Schemes with Strong Exculpability

P. Bemmann, Universität Paderborn, 2014



RSA-Full Domain Hash Revisited

T. Rath, Universität Paderborn, 2014


Tampering attacks in pairing-based cryptography

J. Blömer, P. Günther, G. Liske, in: Proceedings of Fault Tolerance and Diagnosis in Cryptography(FDTC), 2014, pp. 1--7

In the last decade pairings have become an important, and often indispensable, ingredient in the construction of identity-based and attribute-based cryptosystems, as well as group signatures and credential systems. Consequently, the applicability of timing, power, or fault attacks to implementations of pairings is an important research topic. We will review some of the known results in this area.


2013


Direct Chosen-Ciphertext Secure Attribute-Based Key Encapsulations without Random Oracles

J. Blömer, G. Liske, 2013

We present a new technique to realize attribute-based encryption (ABE) schemes secure in the standard model against chosen-ciphertext attacks (CCA-secure). Our approach is to extend certain concrete chosen-plaintext secure (CPA-secure) ABE schemes to achieve more efficient constructions than the known generic constructions of CCA-secure ABE schemes. We restrict ourselves to the construction of attribute-based key encapsulation mechanisms (KEMs) and present two concrete CCA-secure schemes: a key-policy attribute-based KEM that is based on Goyal's key-policy ABE and a ciphertext-policy attribute-based KEM that is based on Waters' ciphertext-policy ABE. To achieve our goals, we use an appropriate hash function and need to extend the public parameters and the ciphertexts of the underlying CPA-secure encryption schemes only by a single group element. Moreover, we use the same hardness assumptions as the underlying CPA-secure encryption schemes.


Securing Critical Unattended Systems with Identity Based Cryptography - A Case Study

J. Blömer, P. Günther, V. Krummel, in: Proceedings of the 5th International Conference on Mathematical Aspects of Computer and Information Sciences (MACIS), 2013, pp. 98-105



Seitenkanalresistenz paarungsbasierter Kryptographie

O. Otte, Universität Paderborn, 2013



2012

Attribute-basierte Verschlüsselung

P. Schleiter, Universität Paderborn, 2012




2011


2009


Liste im Research Information System öffnen

Die Universität der Informationsgesellschaft