Sender-binding Encryption : Towards Finding the Weakest Encryption Security to Realise Secure Communication

Die älteste und vermutlich wichtigste Anwendung von Kryptographie ist sichere Kommunikation. Für heutige digitale Kommunikation wird diese Aufgabe üblicherweise in die Aspekte Verschlüsselung und Authentifikation von Nachrichten unterteilt. Verschlüsselungsverfahren, die stark genug für diesen Zweck sind solange Authentifizierung bereits gewährleistet wird, sind schon lange Zeit bekannt. Allerdings ist es ebenso relevant zu wissen welches Sicherheitslevel für Verschlüsselungen nicht nur hinreichend, sondern auch notwendig ist. Werden Verschlüsselungsverfahren eingesetzt, die unnötig starke Sicherheit bieten, so wird nicht nur Rechenkapazität verschwendet. ... mehrEs wird auch unnötigerweise verhindert, dass sichere Kommunikation durchgeführt werden kann, wenn die zur Verfügung stehenden Ressourcen zu begrenzt für solch aufwändige Verfahren sind.
Für asymmetrische Verschlüsselung wurde diese Frage bereits vor zwanzig Jahren aufgeworfen, ist aber dennoch bis heute unbeantwortet. Hinzu kommt, dass viele Anwendungen heutzutage hybride Verschlüsselung statt einfacher asymmetrischer Verschlüsselung einsetzen, um die Vorteile von asymmetrischer Key Encapsulation mit denen von symmetrisch verschlüsselten Nachrichten zu kombinieren. Im Kontext von hybrider Verschlüsselung hat das Thema der Minimalanforderungen für sichere Kommunikation bisher allerdings kaum Aufmerksamkeit erfahren.
In dieser Dissertation wird die Frage, welches Sicherheitslevel für Verschlüsselung tatsächlich notwendig ist um sichere Kommunikation auf authentifizierten Kanälen zu erreichen, konkret im Universal Composability (UC) Modell betrachtet. Im UC-Modell werden sichere Kommunikation sowie authentifizierte Kanäle als ideale Funktionalitäten modelliert. Sicherheit wird so über das real/ideal-Paradigma definiert, dass sie auch bei beliebiger und nebenläufiger Komposition von Protokollen gewährleistet bleibt. Alle Beweise in dieser Arbeit werden für statische Korruption und eine polynomiell beschränkte Menge beteiligter Parteien geführt.
Die Dissertation führt das neue Konzept von Sender-gebundener Verschlüsselung ein und entwickelt einen zugehörigen Sicherheitsbegriff mit Namen IND-SB-CPA, was als Abkürzung für „indistinguishability under sender-binding chosen plaintext attack“ steht. IND-SB-CPA Sicherheit ist speziell dafür entwickelt schwächst möglich und gleichzeitig ausreichend stark zu sein, um sichere Kommunikation mittels authentifizierter Kanäle zu erreichen. Zusätzlich wird das verwandte Konzept von Sender-gebundener Key Encapsulation für hybride Verschlüsselung inklusive einer zugehörigen Version von IND-SB-CPA Sicherheit vorgestellt. Beide neuen Konzepte und Sicherheitsbegriffe werden umfassend in Bezug auf generische Transformationen ausgehend von anderen Formen der Verschlüsselung und Key Encapsulation untersucht, sowie theoretisch in das Feld bereits etablierter spielebasierter Sicherheitsbegriffe eingeordnet.
Im Kontext der asymmetrischen Verschlüsselung wird nicht nur gezeigt, dass IND-SB-CPA sichere Sender-gebundene Verschlüsselung alle bisherigen Ansätze abdeckt und tatsächlich ausreichend Sicherheit bietet, um sichere Nachrichtenübertragung mittels authentifizierter Kanäle im UC-Modell zu realisieren. Zum ersten Mal auf diesem konkreten Forschungsgebiet wird außerdem eine Optimalitätsaussage getroffen: Eingeschränkt auf den faktischen Standard des encrypt-then-authenticate Prinzips zur Verbindung von Verschlüsselung und Authentifikation wird bewiesen, dass IND-SB-CPA sichere Sender-gebundene Verschlüsselung tatsächlich der schwächst mögliche asymmetrische Verschlüsselungsbegriff zur UC-Realisierung von sicherer Kommunikation ist.
Im Kontext hybrider Verschlüsselung wird gezeigt, dass IND-SB-CPA sichere Sender-gebundene Key Encapsulation stark genug ist, um sichere Kommunikation sowohl im single-message Modus zu erreichen, wo für jede Nachricht ein neuer symmetrischer Schlüssel verwendet wird, als auch im Session Modus, wo ein symmetrischer Schlüssel langlebig für eine ganze Kommunikationssitzung Bestand hat – solange die Key Encapsulation mit ausreichend sicherer symmetrischer Verschlüsselung kombiniert wird.
Insgesamt gelingt es in dieser Dissertation unter Beschränkung auf statische Korruption, eine polynomielle Menge beteiligter Parteien und das encrypt-then-authenticate Prinzip die obige Forschungsfrage im Kontext von asymmetrischer Verschlüsselung vollständig zu beantworten, während auch für hybride Verschlüsselung erhebliche Fortschritte erzielt werden können.

The oldest and arguably most important cryptographic application is secure communication. For modern day digital communication this task is commonly split into encryption and authentication of messages. Encryption which is strong enough for this purpose if authentication is already provided has long been known. However, it is also vital to know which type of encryption security is not only sufficient but necessary. Using encryption schemes which are unnecessarily strong does not only waste computational resources but also unnecessarily precludes communication being conducted in a secure manner when resources are too scarce.
... mehr
For public-key encryption the problem was raised more than twenty years ago, but still remains open to this day. Furthermore, many applications nowadays use hybrid encryption rather than plain public-key encryption, which combines the benefits of public-key key encapsulation with those of symmetrically encrypted messages. In this hybrid encryption setting, however, minimal encryption requirements for secure communication have not received much attention at all, so far.
In this dissertation the question which level of encryption security is absolutely necessary to facilitate secure communication from given authenticated channels is considered specifically in the universal composability (UC) framework. In the UC framework secure communication as well as authenticated channels are modelled as ideal functionalities. Security is asserted via the real/ideal paradigm in such a way that it is guaranteed even under arbitrary and concurrent composition of protocols. All proofs in this work are conducted for static corruption and for a polynomial set of participating parties.
The dissertation introduces the new public-key concept of sender-binding encryption and develops a corresponding security notion termed IND-SB-CPA—which stands for indistinguishability under sender-binding chosen plaintext attack. IND-SB-CPA security is specifically tailored to be as weak as possible but still sufficient in conjunction with authentication to achieve secure communication. Furthermore, a related concept of sender-binding key encapsulation for hybrid encryption as well as the respective version of IND-SB-CPA security is provided. Both new concepts and security notions are thoroughly investigated regarding generic transformations from other types of encryption and key encapsulation schemes as well as their theoretic classification with respect to established game-based security notions.
In the setting of public-key encryption it is not only shown that IND-SB-CPA secure sender-binding encryption unifies all prior approaches and is in fact strong enough to UC-realise secure message transfer from authenticated channels. For the first time in this line of research, an optimality result is provided as well: Restricted to the de facto standard encrypt-then-authenticate principle to combine encryption and authentication, IND-SB-CPA secure sender-binding encryption is shown to be the weakest possible public-key encryption for the purpose of secure communication.
For the setting of hybrid encryption, IND-SB-CPA secure sender-binding key encapsulation is proven strong enough to realise secure communication both for single message communication—where a new symmetric key is used for every message—as well as session communication—where one symmetric key is persistently used throughout a whole session—if key encapsulation is paired with a suitably secure symmetric encryption.
Overall, restricted to static corruption, a polynomial set of participating parties and the encrypt-then-authenticate principle this dissertation is able to fully answer the above research question for the public-key encryption setting, while considerable headway is made for hybrid encryption as well.