In den meisten Fällen unterscheiden sich die Verwaltungsansätze und Zeitrahmen für die Verwendung von Signatur- und Verschlüsselungsschlüsseln.

Bei Nicht-Zurückweisung möchten Sie niemals, dass jemand anderes die Kontrolle über Ihren Signaturschlüssel erhält, da dieser sich als Identitätswechsel ausgeben kann Sie. Möglicherweise möchte Ihr Arbeitsplatz jedoch Ihren Verschlüsselungsschlüssel hinterlegen, damit andere Benutzer auf die von Ihnen verschlüsselten Informationen zugreifen können.

Möglicherweise möchten Sie auch, dass ein Signaturschlüssel für eine lange Zeit gültig ist, damit die Benutzer in der Nähe sind Die Welt kann Signaturen aus der Vergangenheit überprüfen, aber mit einem Verschlüsselungsschlüssel möchten Sie ihn häufig früher verschieben und alte ohne so viele Probleme widerrufen können.

Es ist möglicherweise unsicher , dasselbe Schlüsselpaar sowohl für die Signatur als auch für die Verschlüsselung zu verwenden. Dies kann je nach verwendetem Public-Key-Schema Angriffe ermöglichen. Diese Art der Verwendung ist nicht das, wofür das System entwickelt wurde. Wenn Sie das System also so verwenden, dass es nicht entwickelt wurde, erlischt die Garantie.

Tun Sie es nicht. Es bittet um Ärger.

Es gibt einige Gründe, warum wir nicht denselben Schlüssel für die Verschlüsselung und Signatur verwenden sollten.

1. Wir müssen unseren geheimen Schlüssel für verschlüsselte Daten sichern. Später möchten wir einige alte verschlüsselte Nachrichten entschlüsseln, müssen jedoch unseren geheimen Schlüssel zum Signieren nicht sichern. Wenn der Angreifer den Schlüssel findet, können wir unsere Zertifizierungsstelle anweisen, ihn zu widerrufen und einen neuen geheimen Schlüssel zum Signieren zu erhalten, ohne dass eine Sicherung erforderlich ist.

2. Wichtiger: Wenn wir denselben Schlüssel für die Verschlüsselung und Signatur verwenden, kann der Angreifer damit unsere verschlüsselte Nachricht entschlüsseln. Dies würde er / sie tun:

   Der Angreifer muss eine Zufallszahl r auswählen, wobei

   r sein muss GDC (N, r) = 1 ,
   und N ist die Nummer, die zum Erstellen eines privaten und öffentlichen Schlüssels verwendet wird ( N = pq ).

   Dann wählt der Angreifer eine neue Nachricht ( m ′ ) und sendet diese zum Signieren an den Absender:

   m ′ = m ^ er ^ e … (hier ist (e, n) der öffentliche Schlüssel)

   Wenn der Absender m ′ wir bekommen

   m '^ d ≡ (m ^ er ^ e) ^ d ≡ mr (mod N)

   Jetzt nur noch der Angreifer muss es durch r "teilen", um m (die geheime Nachricht) zu erhalten.

ol>

Gründe für die Verwendung separater Schlüssel zum Signieren und Verschlüsseln:

1. Nützlich in der Organisation war, dass Verschlüsselungsschlüssel gesichert oder in einem Treuhandkonto aufbewahrt werden müssen, um Daten zu entschlüsseln, sobald ein Mitarbeiter / Benutzer der Organisation Nein ist länger Erhältlich. Im Gegensatz zum Verschlüsselungsschlüssel darf der Entwurfsschlüssel niemals von jemand anderem als dem Mitarbeiter / Benutzer verwendet werden und darf und sollte nicht in einem Treuhandkonto aufbewahrt werden.
2. Ermöglicht unterschiedliche Ablaufzeiten für das Signieren eines Verschlüsselungsschlüssels.
3. Da die zugrunde liegende Mathematik für die Verschlüsselung und das Signieren dieselbe ist, nur in umgekehrter Reihenfolge, wenn ein Angreifer einen Schlüsselhalter überzeugen / austricksen kann, eine unformatierte verschlüsselte Nachricht mit demselben Schlüssel zu signieren, wenn der Angreifer das Original erhält.

Referenzen

1. https://www.entrust.com/what-is -pki /

2. https://www.gnupg.org/gph/en/manual/c235.html

3. http://www.di-mgt.com.au/rsa_alg.html

ol>

Für mich hängen die Hauptgründe eher mit der Schlüsselverwaltung als mit der kryptografischen Sicherheit an sich zusammen.

Bei asymmetrischer Krypto kann insbesondere der Zeitraum, in dem ein öffentlicher Schlüssel gültig sein soll, stark von der beabsichtigten Verwendung dieses Schlüssels abhängen. Stellen Sie sich beispielsweise ein System vor, in dem sich eine Komponente gegenüber anderen Komponenten authentifizieren muss. Darüber hinaus muss diese Komponente regelmäßig eine Signatur für einige Daten erstellen. Theoretisch könnte ein einziger privater Schlüssel für beide Zwecke verwendet werden. Angenommen, die PKI-Zertifizierungsstelle möchte aus Sicherheitsgründen den Zeitraum, in dem eine erfolgreiche Authentifizierung basierend auf einem einzelnen Zertifikat erfolgen kann, auf zwei Jahre beschränken. Gleichzeitig können die Gesetze zur Vorratsdatenspeicherung vorschreiben, dass die Daten fünf Jahre lang aufbewahrt werden und dass die Unterschrift über diese Daten während des gesamten Zeitraums überprüfbar sein muss. Die einzige (solide) Möglichkeit, dieses Problem zu lösen, besteht darin, der Komponente zwei private Schlüssel zu geben: einen zur Authentifizierung und einen zum Signieren. Das Zertifikat des ersten Schlüssels läuft nach zwei Jahren ab, das Zertifikat zum Signieren nach fünf Jahren.

Ähnliche Überlegungen können auf die symmetrische Kryptographie angewendet werden: Wenn Sie unterschiedliche Schlüssel für unterschiedliche Zwecke verwenden, können Sie entscheiden bei allen Fragen der Schlüsselverwaltung (z. B. Häufigkeit des Roll-Over des Hauptschlüssels, Zeitraum zum Sichern der Schlüssel usw.) auf der Grundlage der Anforderungen eines einzelnen Zwecks. Wenn Sie einen einzelnen (Haupt-) Schlüssel für mehrere Zwecke verwenden, kann dies zu widersprüchlichen Anforderungen führen.

Die RSA-Verschlüsselung basiert auf einer Trapdoor-Funktion, dh einem Funktionspaar. Ich werde sie D und E nennen. Die Funktionen sind so ausgelegt, dass D (E (x)) = x und E (D (x)) = x (für jedes x ). Mit anderen Worten sind D und E invers. Was es zu einer Trapdoor-Funktion macht, ist, dass Sie, wenn Sie einen öffentlichen Schlüssel haben, nur E (praktisch) berechnen können. Wenn Sie einen privaten Schlüssel haben, können Sie sowohl D als auch E berechnen.

Die Funktionsweise der Verschlüsselung ist aus dieser Beschreibung ziemlich offensichtlich. Wenn Bob Alice eine verschlüsselte Nachricht senden möchte, berechnet er chiffretext: = E (Klartext) . Dann sendet Bob Chiffretext an Alice. Alice berechnet D (Chiffretext) , was D (E (Klartext)) ist, was nur Klartext ist.

Lassen Sie uns nun darüber sprechen, wie das Signieren funktioniert. Wenn Alice eine Nachricht signieren möchte, berechnet sie die Signatur: = D (Nachricht) . Sie sendet dann sowohl die Nachricht als auch die Signatur an Bob. Bob berechnet dann die -Validierung: = E (Signatur) . Da Signatur D (Nachricht) ist, ist Validierung = E (D (Nachricht)) = Nachricht .

In Mit anderen Worten: Um eine Nachricht zu signieren, tun Sie so, als würden Sie sie entschlüsseln, und das ist Ihre Signatur. Um Ihre Signatur zu überprüfen, können Benutzer die Signatur verschlüsseln und sicherstellen, dass sie Ihre ursprüngliche Nachricht zurückerhalten.

Ich sage das noch einmal: Das Signieren ist der gleiche Vorgang wie das Entschlüsseln.

Dies ist das grundlegende Anliegen bei der Trennung von Signatur- und Verschlüsselungsschlüsseln. Wenn jemand Sie dazu bringen kann, etwas zu unterschreiben, hat er Sie gerade dazu gebracht, es zu entschlüsseln.

Angenommen, Sie führen eine Notarfirma. Wenn Ihnen jemand 10 US-Dollar und eine Nachricht (z. B. Songtexte) gibt, unterschreiben Sie diese Nachricht und senden sie Ihnen zurück. Wenn jemand später Ihre Songtexte kopiert, können Sie die Unterschrift des vertrauenswürdigen Notars vorlegen, um zu demonstrieren, dass Sie diese Songtexte geschrieben haben.

Nehmen wir nun an, Eve hat eine verschlüsselte Nachricht an Ihre Notarfirma abgefangen. Wie kann sie die Verschlüsselung untergraben? Sie sendet Ihnen dieselbe Nachricht zur Beglaubigung! Jetzt führen Sie die Signaturoperation aus (die, wie Sie sich erinnern, mit der Entschlüsselungsoperation identisch ist) und senden das Ergebnis an sie zurück. Sie hat jetzt die entschlüsselte Nachricht.

In der Praxis haben Protokolle Schritte, die diesen Angriff erschweren. Zum Beispiel signiert PGP (womit ich das Protokoll meine; gpg ist hier die häufigste Implementierung) nicht die ursprüngliche Nachricht; Es signiert einen Hash der Nachricht. Sicherheitsnachweise sind jedoch in einfachen Situationen am besten. Sie möchten nicht, dass Ihr Beweis für die Sicherheit von RSA von der Hash-Funktion abhängt. (Zum Beispiel haben viele Leute MD5 lange Zeit als bevorzugten Hash verwendet, aber heute wird MD5 als ziemlich kaputt angesehen.) Allein die Sicherheit von RSA hängt von der Idee ab, dass Sie keine willkürlichen Nachrichten mit einem Schlüssel signieren, der für die Verschlüsselung verwendet wird. Die Einhaltung dieser Anforderung ist der beste Weg, um die Sicherheit von PGP zu gewährleisten. (Soweit ich mich erinnere, ist dies die am häufigsten wiederholte Ermahnung zur asymmetrischen Verschlüsselung in Bruce Scheiers Buch Angewandte Kryptographie .)

Lassen Sie uns nun darüber sprechen Eine weitere Frage, die Sie gestellt haben: "Würde dies nicht auch bedeuten, dass Sie zwei öffentliche Schlüssel an alle Personen verteilen müssen, mit denen Sie kommunizieren möchten?"

Ein "Schlüssel" bedeutet für Benutzer eine Sache und für andere eine andere die Krypto-Implementierungen. Sie müssen nur einen "Schlüssel" auf Benutzerebene kommunizieren, obwohl dieser möglicherweise viele öffentliche RSA-Schlüssel enthält.

PGP hat ein Konzept von Unterschlüsseln. Mein Hauptschlüssel ist ein Nur-Signatur-Schlüssel. Ich habe einen separaten Verschlüsselungsunterschlüssel. Dieser Unterschlüssel ist von meinem Hauptschlüssel signiert. Wenn Sie meinen PGP-Schlüssel von den Keyservern importieren oder von meiner Website herunterladen, erhalten Sie meinen Hauptschlüssel und alle meine Unterschlüssel. Auch wenn Sie möglicherweise nur meinen Hauptschlüssel signiert haben, hat mein Hauptschlüssel meinen Verschlüsselungsunterschlüssel signiert, sodass Sie wissen, dass er auch mir gehört. Das bedeutet, dass Sie durch das Herunterladen meines PGP-Schlüssels (der viele öffentliche RSA-Schlüssel umfasst) jetzt alles haben, was Sie zum Überprüfen meiner Signaturen und zum Verschlüsseln von Nachrichten an mich benötigen.

Mit Unterschlüsseln ist die Schlüsselverwaltung komplexer Vom kryptografischen Standpunkt aus (es muss noch ein zusätzlicher Schritt zur Schlüsselüberprüfung durchgeführt werden), aber nicht vom praktischen Standpunkt aus (mein PGP-Schlüssel enthält meinen Hauptschlüssel sowie alle meine Unterschlüssel). Die zusätzliche Komplexität ist in der Implementierung verborgen und dem Benutzer nicht zugänglich.