Kryptografische Hashfunktionen und digitale Signaturen

Questions and Answers

Was ist das Ziel eines Message Authentication Codes (MAC)?

Nachweis der Authentizität des Datenursprungs der Nachricht.

Wie wird der MAC für die Nachricht m von Partner A berechnet?

mac = H(m'), mit 𝑚′ = k𝐴𝐵 || m.

Was geschieht im Schritt 2 des Encrypt-then-MAC Verfahrens?

A berechnet den MAC: mac = SHA-256(kmac || c).

Was muss Partner B tun, bevor er die empfangene Nachricht entschlüsselt?

B muss prüfen, ob der berechnete mac' mit dem empfangenen mac übereinstimmt.

Was beschreibt ein length extension-Angriff in der Merkle-Damgård Konstruktion?

Es ermöglicht einem Angreifer, den Hashwert für zusätzliche Daten zu berechnen, ohne den ursprünglichen Input zu kennen.

Wie wird der neue Hashwert h' in der Merkle-Damgård Konstruktion berechnet?

h' = SHA-1(h)(m), wobei h der interne Zustand und m der neue Input ist.

Was sind die zwei Schlüssel, die im erweiterten Szenario um Verschlüsselung verwendet werden?

Der gemeinsame MAC-Key kmac und der gemeinsame AES-Key kenc.

Was passiert, wenn Partner B die MAC-Prüfung fehlschlägt?

Dann erfolgt ein Abbruch der Kommunikation.

Was ist das Hauptproblem der Merkle-Damgård Konstruktion, das bei der SHA-2-Familie angesprochen wird?

Das Hauptproblem ist die 'length extension', die es Angreifern ermöglicht, Hashwerte zu manipulieren.

Wie unterscheidet sich SHA-512/256 von SHA-512 bezüglich der Hashbildung?

SHA-512/256 nutzt nur 256 Bit von den 512 Bit für die Hashbildung.

Was ist das Hauptmerkmal des Sponge-Prinzips, das SHA-3 zugrunde liegt?

Das Sponge-Prinzip beinhaltet das 'Aufsaugen' der Eingabe und das 'Ausquetschen' der Ausgabe.

Welche Anforderungen müssen Passworthashfunktionen erfüllen, um Angriffe zu erschweren?

Passworthashfunktionen sollten einen langsamen Abgleich ermöglichen und viel Speicher sowie CPU-Zeit benötigen.

Was ist der Unterschied zwischen SHA-256 und bcrypt hinsichtlich der Hashgeschwindigkeit?

SHA-256 hat eine Geschwindigkeit von etwa 2900 MH/s, während bcrypt nur etwa 1.3 KH/s erreicht.

Wie wird die Authentizität bei der Verwendung von Message-Authentication-Codes (MAC) sichergestellt?

Die Authentizität wird sichergestellt, indem ein gemeinsames Geheimnis oder ein shared Key in die Hash-Berechnung einbezogen wird.

Was ist der Zweck von parametrisierbaren Hashfunktionen wie bcrypt?

Der Zweck ist es, die Hashfunktion bei Bedarf 'abzubremsen', um Angriffe zu erschweren.

Was bedeutet der AEAD-Modus im Kontext der Datenverschlüsselung?

AEAD steht für Authenticated Encryption with Associated Data und ermöglicht die Authentifizierung von unverschlüsselten, assoziierten Daten zusammen mit dem Chiffretext.

Nennen Sie zwei Beispiele für AEAD-Verfahren.

Zwei Beispiele sind ChaCha20-Poly1305 und AES-GCM.

Warum reicht eine Hashfunktion allein nicht für den Ursprungsnachweis?

Eine Hashfunktion allein kann nur die Integrität gewährleisten, nicht aber die Authentizität des Datenursprungs.

Was ist das grundlegende Konstruktionsprinzip der AEAD-Verfahren?

Das grundlegende Prinzip ist 'Encrypt-then-MAC', wobei die Verschlüsselung vor der Generierung des MAC erfolgt.

Was ist die Ursache dafür, dass ein Angreifer fake-Daten anfügen kann, das zu einer korrekten Validierung führt?

Die Ursache liegt darin, dass der interne Zustand am Ende als Hashwert ausgegeben wird.

Wie sollte der interne Zustand behandelt werden, um Sicherheitsrisiken zu vermeiden?

Der interne Zustand sollte nicht als Ausgabe herausgegeben werden.

Was ist das Ziel einer elektronischen/digitalen Signatur?

Das Ziel ist der Nachweis der nicht-abstreitbaren Urheberschaft eines Dokuments oder einer Nachricht.

Was ist der Zweck von HMAC in Bezug auf existierende Hashfunktionen?

HMAC dient dazu, existierende Hashverfahren wie SHA-1 und SHA-2 gegen Length Extension Angriffe zu härten.

Welches Verfahren wird für die Erstellung einer elektronischen Signatur verwendet?

Für die digitale Signatur wird typischerweise das RSA-Verfahren in Kombination mit einem Hashverfahren wie SHA-256 verwendet.

Wie validiert Instanz B die elektronische Signatur von A?

Instanz B verifiziert die Signatur, indem sie $RSA_e(sig) = h'$ berechnet und mit $h = SHA-256(m)$ vergleicht.

Welche Rolle spielen die Schlüssel K1 und K2 im HMAC-Verfahren?

K1 und K2 werden verwendet, um den internen und externen Hashwert im HMAC-Verfahren zu berechnen.

Was repräsentiert der private Signaturschlüssel $k_{sig}$ in der RSA-Signaturerstellung?

Der private Signaturschlüssel $k_{sig}$, bei RSA als $d$ bezeichnet, wird verwendet, um den Hashwert der Nachricht zu signieren.

Was können potenzielle Probleme sein, wenn Krypto-Primitiven in falscher Reihenfolge verwendet werden?

Falsche Verwendung kann zu Schwachstellen wie dem Padding Oracle-Angriff führen.

Was ist das Hauptziel eines AEAD-Modus?

Das Hauptziel eines AEAD-Modus ist die Integration von Verschlüsselung und Authentizität in einen Mechanismus.

Wie wird die Datenintegrität bei der digitalen Signatur sichergestellt?

Die Datenintegrität wird durch das Hashverfahren SHA-256 sichergestellt, indem der Hashwert der Nachricht berechnet wird.

Nenne ein Beispiel für eine Kombination einer Krypto-Primitiv und einem Authentifizierungsmechanismus.

Ein Beispiel ist die Kombination von AES zur Verschlüsselung und HMAC zur Authentifizierung.

Warum ist es wichtig, padding beim HMAC Verfahren zu berücksichtigen?

Padding ist wichtig, weil es sicherstellt, dass der Schlüssel die korrekte Blockgröße hat.

Was sind die wichtigsten Anforderungen an eine kryptografische Hashfunktion gemäß Eckert?

Die Anforderungen umfassen einfache Berechenbarkeit, Einwegeigenschaft, schwache und starke Kollisionsresistenz.

Erkläre die Einwegeigenschaft einer Hashfunktion.

Die Einwegeigenschaft besagt, dass es nicht effizient möglich ist, den ursprünglichen Wert m aus dem Hashwert h = H(m) zu bestimmen.

Wie unterscheidet sich die schwache von der starken Kollisionsresistenz?

Die schwache Kollisionsresistenz verhindert, dass ein anderes m' mit dem gleichen Hashwert wie m gefunden wird, während die starke Kollisionsresistenz das Finden von beliebigen Paaren m und m' mit dem gleichen Hashwert verhindert.

Warum empfiehlt das BSI eine Hashwertlänge von mindestens 256 Bit?

Eine Mindestlänge von 256 Bit erhöht die Sicherheit gegen Kollisionsangriffe und macht diese rechnerisch unpraktisch.

Nenne ein Beispiel für eine Hashfunktion, die auf Blockchiffren basiert.

Ein Beispiel ist AES-CBC, das zur Integritätsprüfung verwendet werden kann.

Was ist SHA-1 und warum gilt es als unsicher?

SHA-1 ist ein Secure Hash Algorithm, der einen 160-Bit Hashwert erzeugt und als unsicher gilt, da Schwächen in der Kollisionsresistenz entdeckt wurden.

Was bedeutet 'Kollisionsresistenz' in Bezug auf Hashfunktionen?

Kollisionsresistenz bedeutet, dass es sehr schwierig ist, zwei verschiedene Eingaben m und m' zu finden, die den gleichen Hashwert erzeugen.

Wie wird der Hashwert in der Blockchiffren-basierten Hashfunktion AES-CBC gebildet?

Der Hashwert wird durch den letzten Block der verschlüsselten Daten, H(m) = Cn, gebildet.

Was ist der Zweck einer kryptografischen Hashfunktion?

Der Zweck einer kryptografischen Hashfunktion ist es, einen digitalen Fingerabdruck h für eine Nachricht m zu erstellen, der die Integrität der Nachricht gewährleistet.

Erkläre die Bedeutung des Begriffs 'Kollision' in Bezug auf Hashfunktionen.

Eine Kollision tritt auf, wenn zwei unterschiedliche Nachrichten m1 und m2 denselben Hashwert h erzeugen, also H(m1) = H(m2).

Welche der drei Anforderungen an die Hashfunktion sind besonders anfällig für Kollisionen?

Die Anforderungen 1 und 3 sind betroffen: Eine Kollision kann die eindeutige Charakterisierung der Nachricht und die Erkennung von Modifikationen beeinträchtigen.

Was geschieht mit dem Hashwert, wenn die Originalnachricht modifiziert wird?

Die Modifikation der Originalnachricht führt zu einem neuen Hashwert, H(m') = h', der anders ist als der ursprüngliche Hashwert h.

Wie wird die Merkle-Damgård-Konstruktion zur Erzeugung von Hashwerten verwendet?

Die Merkle-Damgård-Konstruktion zerlegt die Eingaben in Blöcke und komprimiert sie blockweise mit einer Kompressionsfunktion f.

Nenne zwei veraltete Hashfunktionen, die häufig noch verwendet werden.

MD5 und SHA-1 sind zwei veraltete Hashfunktionen, die dennoch in Gebrauch sind.

Warum sind Hashwerte per Definition keine vertraulichen Werte?

Hashwerte sind keine vertraulichen Werte, da sie dazu gedacht sind, öffentlich zugänglich zu sein, um die Integrität der Daten zu überprüfen.

Wie stellt eine Hashfunktion die Integrität einer Nachricht sicher?

Eine Hashfunktion stellt die Integrität sicher, indem sie einen eindeutigen Hashwert für die Nachricht erzeugt, sodass jede Änderung an der Nachricht sichtbar wird.

Study Notes

Kryptografische Hashfunktionen, MAC und digitale Signaturen

• Kryptografische Hashfunktionen erzeugen einen "digitalen Fingerabdruck" (Message Digest) für Dokumente oder Nachrichten. Der Hashwert repräsentiert das gesamte Dokument.
• Die Hashfunktion H bildet eine Nachricht m beliebiger Länge auf einen Hashwert h fester Länge ab (z.B. 128 Bit).
• Merkle-Damgård Konstruktion ist eine gängige Methode zur Konstruktion von Hashfunktionen. Die Eingabe wird in Blöcke aufgeteilt, die in einer Kette verarbeitet werden. Ein Initialisierungsblock IV und eine Kompressionsfunktion f verarbeiten die Eingaben.
• Der Hashwert ist nicht vertraulich.
• Hashfunktionen sind für die Integritätsprüfung von Nachrichten essentiell. Eine Modifikation der Nachricht führt zu einem unterschiedlichen Hashwert.
• Kollisionen sind prinzipiell möglich (Zwei verschiedene Nachrichten können denselben Hashwert haben). Hashfunktionen müssen dennoch starke Kollisionsresistenz besitzen.
• Zur Berechnung einer Hashfunktion braucht man keine Geheimnisse.
• Einweg-Eigenschaft: Ausgehend vom Hashwert (h) ist die Berechnung der Ausgangsnachricht (m) nicht effizient möglich.
• Für Passwort-Hashing sollte man parametrisierbare Hashfunktionen verwenden, die man je nach Bedarf verlangsamen kann (Beispiel: bcrypt; Anzahl der Iterationen ist wählbar).
• Drei Klassen von Hashfunktionen: Basierend auf Block-Chiffren, Dedizierte Hashfunktionen (SHA-1, SHA-2, SHA-3). SHA-3 ist aktueller Standard, basierend auf Sponge-Prinzip.

Message Authentication Codes (MAC)

• MACs gewährleisten sowohl die Integrität als auch die Authentizität von Nachrichten.
• MACs verwenden einen geheimen Schlüssel, um einen Message Authentication Code (MAC) zu erstellen, der verifiziert, dass eine Nachricht nicht verändert wurde und von ihrem angegebenen Absender stammt.
• MACs verwenden eine Hashfunktion, aber mit einem geheimen Schlüssel im Verfahren. Der Schlüssel ist für die Authentizität der Nachricht entscheidend, und nur der Partner, der den Schlüssel kennt, kann den MAC berechnen.
• Ein Beispiel für den Ablauf ist "Encrypt-then-MAC" (Verschlüsselung, dann MAC).
• Der MAC wird im Klartext mit der Nachricht gesendet. Der Empfänger berechnet den MAC anhand des Schlüssels und der Nachricht, und vergleicht die Ergebnisse.

Elektronische (Digitale) Signaturen

• Digitale Signaturen gewährleisten die nicht-abstreitbare Urheberschaft eines Dokuments oder einer Nachricht. Sie nutzen Public-Key-Verfahren (beispielsweise RSA) für die Authentizität.
• Private Schlüssel werden zum Signieren verwendet, öffentliche Schlüssel zur Überprüfung. Schlüssel werden nicht zum Verschlüsseln verwendet.
• Der Ablauf einer digitalen Signatur umfasst folgende Schritte: Hashen der Nachricht, Signieren des Hashs mittels des privaten Schlüssels, und Validierung des signierten Hashs durch den Empfänger anhand des öffentlichen Schlüssels.

AEAD (Authenticated Encryption with Associated Data)

• AEAD-Modi kombinieren Verschlüsselung und Authentizität in einem Mechanismus.
• Die Reihenfolge (Encrypt-then-MAC) ist wichtig.
• Beispiele für AEAD-Modi: ChaCha20-Poly1305, AES-GCM. Diese Verfahren integrieren Hashfunktionen zusammen mit einer Blockchiffre.

Description

Dieses Quiz behandelt die Grundlagen kryptografischer Hashfunktionen, Message Authentication Codes (MAC) und digitaler Signaturen. Es erklärt, wie Hashwerte erzeugt werden, ihre Rolle bei der Integritätsprüfung von Nachrichten sowie das Konzept der Kollisionen. Teste dein Wissen über diese wichtigen Sicherheitsmechanismen in der Informationssicherheit.