Sicherheitsbegriffe

Beschreibung

Um über die Sicherheit eines kryptographischen Protokolls sprechen zu können, bedarf es einer (mathematischen) Sicherheitsdefinition, die die gewünschten Eigenschaften abbildet.

Dazu wurden in der Literatur häufig "spielbasierte" Definitionen verwendet, die jeweils einen einzelnen Aspekt wie beispielsweise die Vertraulichkeit abdecken. Sie sind einfach zu definieren, jedoch ist häufig unklar, ob die betrachteten Sicherheitsspiele alle relevanten Angriffvektoren abbilden.

Als Alternative dazu wurden Sicherheitsframeworks entworfen, die dem Real-Ideal-Paradigma [GMW87] folgen. Diese vergleichen die Ausführung eines realen Protokolls von echten Parteien mit geheimen Eingaben mit einer idealisierten Ausführung, bei der alle Berechnungen von einer vertrauenswürdigen Entität durchgeführt werden. Kann nicht zwischen der realen und der idealen Ausführung, die offensichtlich und nach Konstruktion sicher ist, unterschieden werden, so bietet das reale Protokoll alle Eigenschaften, die in der idealen Ausführung modelliert sind.

Beide Ansätze betrachten im Allgemeinen nur die Ausführung einer Instanz des einen zu analysierenden Protokolls und liefern deshalb keine Aussage zum Zusammenspiel („Komposition”), also ob die Sicherheitseigenschaften noch gültig sind, wenn eine Partei nebenbei noch an anderen Protokollausführungen beteiligt ist.

Das sogenannte UC-Framework (von „Universal Composability“) [Can01] liefert eine stärkere Form des Real-Ideal-Paradigmas, das zusätzlich die Sicherheit eines Protokolls in jedem beliebigen Kontext garantiert, also unabhängig von anderen Protokollen, die nebenher laufen. Dies ist insbesondere in der Praxis wertvoll, da Protokolle in der Regel unabhängig voneinander entworfen, jedoch zusammen eingesetzt werden. Schwächere Sicherheitsbegriffe verlieren hier ihre Aussagekraft.

Die stärkeren Garantien der UC-Sicherheit werden allerdings durch viele Nachteile erkauft. So ist es beispielsweise möglich, mit nur sehr schwachen Modellannahmen wie authentifizierten Kanälen ein Protokoll zu konstruieren, das (nahezu) jede Funktionalität real-ideal-sicher realisiert. Dies ist zwar auch im UC-Framework grundsätzlich möglich, setzt aber ungleich stärkere Vertrauensannahmen voraus, wie in einer Reihe von Unmöglichkeitsresultaten gezeigt wurde. Durch ihre hohe Komplexität und geringe Effizienz sind viele UC-sichere Protokolle zudem eher von theoretischem Interesse denn von praktischer Relevanz.

Unsere Forschung

Da sich UC-Sicherheit nur mithilfe von Vertrauensannahmen erreichen lässt, beschäftigen wir uns seit vielen Jahren mit der Frage, wie möglichst schwache Vertrauensannahmen aussehen könnten. Diese Frage wurde insbesondere im Kontext von sicherer Hardware untersucht. Als Beispiel sind hier Signaturkarten zu nennen, die zwischen den Parteien zu Protokollbeginn ausgetauscht werden. Solange eine Partei der Signaturkarte, die sie selbst versendet hat, vertraut, lässt sich UC-sichere Mehrparteienberechnung realisieren. Umgekehrt ist die empfangende Partei in jedem Fall geschützt, selbst wenn die Signaturkarte bösartig ist.

Neben der Suche nach möglichst schwachen Vertrauensannahmen ist es von Interesse, an UC-Sicherheit angelehnte Begriffe zu betrachten, die möglichst starke Sicherheitsgarantien bieten, jedoch ohne UC-vollständige Vertrauensannahmen realisiert werden können. So konnte im "Shielded-Oracles"-Framework das erste komponierende Protokoll zur generischen sicheren Mehrparteienberechnung vorgestellt werden, das nur konstante Rundenanzahl benötigt und black-box unter Standard-Annahmen realisierbar ist.

Andererseits stellt sich die Frage, welche über die UC-Sicherheit hinausgehende Garantien unter Zuhilfenahme von weiteren Annahmen erreicht werden und wie diese in einem Sicherheitsmodell abgebildet werden können. So wurde an diesem Lehrstuhl eine Variante des UC-Frameworks entwickelt, das Isolationsgarantien, wie sie beispielsweise von Datendioden oder Schaltern, die das einseitige Trennen der Netzwerkverbindung erlauben, abbildet. In diesem Framework konnte ein Protokoll zur sicheren Mehrparteienberechnung konstruiert werden, das im Falle von Korruption während der Berechnung neuartige und bisher unerreichte Sicherheitsgarantien bietet: Im Gegensatz zur klassischen adaptiven UC-Sicherheit, bei der Ein- und Ausgaben von beispielsweise durch einen Hacker-Angriff adaptiv korrumpierten Parteien nicht geschützt werden, bleiben Integrität und Vertraulichkeit erhalten.

Unsere Lehre

Jedes Wintersemester wird eine Vorlesung mit dem Titel "Universal Composability in der Kryptographie" (3 ECTS) angeboten. Thema dieser Vorlesung sind fortgeschrittene Themen der Untersuchung von kryptographischen Netzwerkprotokollen, insbesondere hinsichtlich universell komponierbaren Protokollen.

Des Weiteren werden regelmäßig Abschlussarbeiten aus dem Themenfeld der Sicherheitsbegriffe vergeben.

Referenzen:

[GMW87] Oded Goldreich, Silvio Micali, Avi Wigderson: How to Play any Mental Game or A Completeness Theorem for Protocols with Honest Majority. STOC 1987: 218-229

[Can01] Ran Canetti: Universally Composable Security: A New Paradigm for Cryptographic Protocols. FOCS 2001: 136-145