Secure group key agreement [Elektronische Ressource] / von Michael Steiner

universitat_des_saarlandes - Michael Steiner <Steiner@Acm.Org>

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

218 pages

English

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

A propos
Informations
Extrait

Description

Sujets

Informatik

Informations

Publié par	universitat_des_saarlandes
Publié le	01 janvier 2004
Nombre de lectures	10
Langue	English
Poids de l'ouvrage	1 Mo

Extrait

S
S
A
A
T
R
I
A
S
V
R
Secure Group Key Agreement
Dissertation zur Erlangung des Grades
Doktor der Ingenieurwissenschaften (Dr. Ing.)
der Naturwissenschaftlich-Technischen Fakult¨at I
der Universita¨t des Saarlandes
von
Michael Steiner
Gutachter:
Prof. Dr. Birgit Pﬁtzmann
Prof. Dr. Gene Tsudik
Dekan:
Prof. Dr. Rainer Schulze-Pillot-Ziemen
Einreichung:
20 Dezember, 2001
Promotions-Kolloquium:
15. Marz, 2002¨
Saarbrucken, 2002¨
I
E
E
V
N
I
S
N
I
U
SiiAbstract
As a result of the increased popularity of group-oriented applications and
protocols, group communication occurs in many diﬀerent settings: from
network multicasting to application layer tele- and video-conferencing. Re-
gardless of the application environment, security services are necessary to
provide communication privacy and integrity.
This thesis considers the problem of key management in a special class
of groups, namely, dynamic peer groups. Key management, especially in
a group setting, is the corner stone for all other security services. Dy-
namic peer groups require not only initial key agreement but also auxiliary
key agreement operations such as member addition, member exclusion and
group fusion. We discuss all group key agreement operations and present a
concrete protocol suite, CLIQUES, which oﬀers all of these operations. By
providing the ﬁrst formal model for group key establishment and investi-
gating carefully the underlying cryptographic assumptions as well as their
relations, we formally prove the security of a subset of the protocols based
on the security of the Decisional Diﬃe-Hellman assumption; achieving as a
side-eﬀect the ﬁrst provably secure group key agreement protocol.ivKurzzusammenfassung
Mit der Verbreitung oﬀener Netze, insbesondere des Internets, fand auch
die Gruppenkommunikation eine rasante Verbreitung. Eine Vielzahl heuti-
ger Protokolle sind gruppen-orientiert: angefangen bei Multicast-Diensten
in der Netzwerkschicht bis hin zu Videokonferenzsystemen auf der Anwen-
dungsschicht. Alle diese Dienste haben Sicherheitsanforderungen wie Ver-
traulichkeit und Integritat zu erfullen, die den Einsatz kryptographischer¨ ¨
Techniken und die Verfu¨gbarkeit gemeinsamer kryptographischen Schlu¨ssel
oft unumganglich machen.¨
In der folgenden Doktorarbeit betrachte ich dieses grundlegendste Pro-
blem der Gruppenkommunikation, n¨amlich das Schlu¨sselmanagement, fu¨r
dynamische Gruppen, die sogenannten “Dynamic Peer-Groups”. Die Dy-
namik dieser Gruppen erfordert nicht nur initialen Schlu¨sselaustausch in-
nerhalb einer Gruppe sondern auch sichere und eﬃziente Verfahren fur die¨
AufnahmeneuerunddenAusschlußalter Gruppenmitglieder.Ichdiskutiere
alle dafur notwendigen Dienste und prasentiere CLIQUES, eine Familie von¨ ¨
Protokollen, die diese Dienste implementiert. Ich gebe erstmalig eine for-
male Deﬁnition fur sicheres Gruppen-Schlusselmanagement und beweise die¨ ¨
Sicherheit der genannten Protokolle basierend auf einer kryptographischen
Standardannahme,der “Decisional Diﬃe-Hellman” Annahme.Diese Sicher-
heitsbetrachtung wirddurch eine detaillierte Untersuchung dieser Annahme
und ihrer Relation zu verwandten Annahmen abgeschlossen.viZusammenfassung
Der zunehmende Bedarf an gruppenorientierten Anwendungen und Proto-
kollen hat in den letzten Jahren zu einer enormen Verbreitung der Grup-
penkommunikation in verschiedensten Bereichen gefuhrt: angefangen bei¨
Multicast-Diensten in der Netzwerkschicht bis hin zu Videokonferenzsyste-
men auf der Anwendungsschicht. Die Gewahrleistung von Sicherheitsgaran-¨
tien wie Vertraulichkeit, Authentizitat und Integritat sind dabei wichtige¨ ¨
Eigenschaften von Gruppenkommunikation, vor allem um die notwendige
Akzeptanz auf der Anwenderseite zu erreichen.
W¨ahrend Peer-to-Peer Sicherheit ein relativ erwachsenes und gut er-
forschtes Gebiet ist, stellt die sichere Gruppenkommunikation noch im-
mer eine ziemlich unerforschte Landschaft dar. Entgegen einer weit ver-
breiteten Fehleinschatzung, ist sichere Gruppenkommunikation keine trivia-¨
le Erweiterung sicherer Zwei-Parteien-Kommunikation. Es gibt eine Viel-
zahl gravierender Unterschiede und sichere Gruppenkommunikation stellt
noch immer zahlreiche Herausforderungen an die Forschungsgemeinde (vgl.
Smith and Weingarten (1997) und Canetti et al. (1999)).
An dieser Stelle seien nur einige Unterschiede und Probleme erwahnt:¨
Aufgrund ihrer zahlreichen und sehr unterschiedlichen Einsatzgebiete ist es
sehr schwer eine allgemeingultige und konsistente Deﬁnition fur Gruppen-¨ ¨
Kommunikation zu ﬁnden. So haben beispielsweise Gruppen, die fu¨r ei-
ne Video-on-Demand Anwendung gebildet wurden, grundlegend andere Si-
cherheitsanforderungen als dynamische, spontan gebildete Peer-Gruppen in
drahtlosenad-hocNetzwerken. Folglich werdenTaxonomien undKlassiﬁzie-
rungskriterienbeno¨tigt,umProblemklassenundihreSicherheitsanforderun-
1gen zu identiﬁzieren und zu deﬁnieren. Noch wichtiger ist es die Sicherheit
grundlegender Dienste, wie beispielsweise Authentiﬁkation, formal zu deﬁ-
nieren, daohnefundierteundformale Sicherheitsdeﬁnitionen, die Sicherheit
der zugrundeliegenden Protokolle nicht rigoros bewiesen werden kann.
EinzweiterUnterschiedliegtindergro¨ßerenBedeutungderRechen-und
Kommunikationskomplexitat der Protokolle, da diese in direkter Abhangig-¨ ¨
keit zur Anzahl der Teilnehmer steht. Desweiteren sind Topologie und Cha-
1Erste Schritte zur Charakterisierung sicherer Gruppenkommunikation wurden bereits
in Hutchinson (1995) und Canetti et al. (1999) diskutiert, jedoch nur als sehr abstrakte
und informelle Taxonomien.
viiviii
rakteristikdesNetzwerkes bedeutendeFaktorenfurdasDesignunddieAus-¨
wahl geeigneter Protokolle.
Ein weiterer Unterschied liegt in der Dynamik der Gruppen: Zwei-
Parteien-Kommunikation kann als ein diskretes Ph¨anomen betrachtet wer-
den: es beginnt, hat eine bestimmte Dauer und endet wieder. Gruppenkom-
munikation ist komplexer: die Gruppe wird gebildet, kann sich durch Ein-
oder Austritt von Teilnehmern a¨ndern und es gibt nicht notwendigerweise
ein fest deﬁniertes Ende. Diese Dynamik macht die Garantie von Sicher-
heitseigenschaften wesentlich aufwendiger und erschwert insbesondere auch
das Schlusselmanagement.¨
Die Lo¨sung all dieser Fragen wu¨rde den Rahmen einer Doktorarbeit bei
weitem sprengen. Daher betrachte ich in dieser Arbeit das grundlegendste
Problem auf dem alle weiteren Sicherheitsmechanismen der Gruppenkom-
munikation aufbauen, namlich das Schlusselmanagement. Desweiteren be-¨ ¨
schra¨nke ich mich auf eine spezielle Klasse von Gruppen, die Dynamischen
Peer-Gruppen (DPG). DPGs sind Gruppen deren Mitglieder in symmetri-
schen Relationen zueinander stehen und daher als ¨aquivalent bzw. gleich-
wertig behandelt werden. Insbesondere sind spezielle Rollen wie Gruppen-
Koordinator nicht von vornherein ﬁxiert, d.h. es gibt keine zentrale Instanz,
die mehr M¨oglichkeiten als andere Gruppenmitglieder hat. Eine Zuweisung
dieser speziellen Rollen sollte nurvon der(moglicherweise variablen) Sicher-¨
heitsstrategie abha¨ngenundunabha¨ngigvondemSchlu¨sselmanagementpro-
tokoll sein. Die Gruppenzugehorigkeit ist dynamisch, d.h. jeder Teilnehmer,¨
insbesondere auch der aktuelle Gruppen-Koordinator, sollte sich prinzipi-
ell einer Gruppe anschließen, oder diese auch verlassen konnen. Diese an-¨
spruchsvollen Eigenschaften heben DPGs von der zur Verteilung digitaler
Multimediainhalte ublichen Multicast-Gruppen ab und machen sie zu ei-¨
nem interessanten Studienobjekt. DPGs sind in vielen Netzwerkschichten
und Anwendungsgebieten u¨blich. Beispiele umfassen replizierte Server aller
Bereiche (wie Datenbank-, Web- oder Zeitserver), Audio- und Videokonfe-
renzsysteme,Battleﬁeld-Netze oderkooperationsunterstu¨tzendeAnwendun-
genallerArt.ImGegensatzzugroßenMulticast-GruppensindDPGsrelativ
klein. Gr¨oßere Gruppen auf Peer-Basis sind sehr schwierig zu kontrollieren
und werden daher meist hierarchisch organisiert. DPGs besitzen im allge-
meinen auch ein many-to-many Kommunikationsmuster statt der u¨blichen
one-to-many Kommunikation in großen hierarchischen Gruppen.
¨Uberblick
Die Doktorarbeit ist wie folgt aufgebaut:
In den Kapiteln 1 und 2 gebe ich eine Einfu¨hrungin die Thematik und
analysiere notwendige Anforderungen an die Schlusselverwaltung, um die¨
Dynamik von DPGs zu unterstu¨tzen.
Die Basis fur eine rigorose Sicherheitsanalyse lege ich in Kapitel 3, in¨ix
dem ich die notwendigen fundamentalen mathematischen Aspekte untersu-
che. Dabei betrachte ich insbesondere kryptographische Annahmen, die auf
diskretenLogarithmen aufbauen,klassiﬁziere sieunddiskutierewichtige Ei-
genschaften und Parameter, deren Vera¨nderung unterschiedliche Varianten
dieser Annahmen implizieren. Zusatzlich beweise ich mehrere Relationen¨
zwischen unterschiedlichen Annahmen, welche sich in sp¨ateren Sicherheits-
beweisen fu¨r die Protokolle zum Gruppen-Sc