Security issues in a group key establishment protocol

Die Arbeit beschreibt schwerwiegende Sicherheitsmängel in einem kürzlich veröffentlichten Protokoll zur Gruppen-Schlüsselvereinbarung und empfiehlt, dieses nicht zu verwenden.

Das Wesentliche

Stellen Sie sich vor, eine Gruppe von Freunden möchte ein geheimes Passwort für ein gemeinsames Spiel erstellen. Jeder soll das Passwort kennen, aber niemand von außen. Das ist das Ziel des Protokolls, das in diesem Papier untersucht wird. Der Autor, Chris Mitchell, hat jedoch entdeckt, dass dieser Plan so viele Löcher hat, dass er komplett unbrauchbar ist.

Hier ist die Erklärung, was schiefgelaufen ist, in einfachen Worten und mit ein paar bildhaften Vergleichen:

1. Der Plan: Ein geheimes Schloss mit vielen Schlüsseln

Stellen Sie sich vor, der Anführer der Gruppe (der "Initiator") möchte ein neues Geheimnis (den "Gruppenschlüssel") für alle erstellen.

• Die Methode: Er nutzt ein mathematisches Zaubertrick-Verfahren namens "Secret Sharing" (Geheimnis-Teilen). Das ist wie ein Puzzle: Jeder bekommt ein kleines Puzzleteil. Nur wenn man alle Teile zusammenlegt, sieht man das ganze Bild (das Passwort).
• Die Versprechen: Die Erfinder des Plans sagten: "Kein Außenstehender kann das knacken, und niemand in der Gruppe kann sich als der Anführer ausgeben, um ein neues, falsches Passwort zu verteilen."

2. Das Problem: Warum der Plan scheitert

Der Autor zeigt drei Hauptfehler auf, die den gesamten Plan zerstören:

A. Der "Nachahmer"-Trick (Das größte Problem)

Stellen Sie sich vor, Alice ist ein Mitglied der Gruppe. Sie bekommt ihr Puzzleteil und kann das Geheimnis (das Passwort) entschlüsseln.

• Der Fehler: Weil Alice das Puzzle lösen kann, kann sie auch alle anderen Puzzleteile berechnen, die die anderen Mitglieder haben!
• Die Konsequenz: Alice kann sich jetzt als der Anführer ausgeben. Sie erstellt ein neues Passwort, berechnet die Puzzleteile für alle anderen und schreit in die Runde: "Hey, das ist das neue Passwort von eurem Anführer!"
• Das Ergebnis: Alle glauben ihr, weil die Mathematik stimmt. Alice kann die Gruppe also jederzeit täuschen und ein falsches Passwort erzwingen. Das ist, als würde ein Gast im Hotel die Schlüsselkarte des Hoteldirektors fälschen und alle Gäste in einen falschen Raum schicken.

B. Der "Zeitfälscher"-Trick

Stellen Sie sich vor, ein Hacker hat das Passwort einmal geknackt (oder ein böser Insider hat es gestohlen).

• Der Fehler: Das Protokoll benutzt einen Zeitstempel (wie ein Datum auf einem Brief), um zu beweisen, dass das Passwort "frisch" ist. Aber der Hacker kann einfach das alte Passwort nehmen, ein neues Datum darauf schreiben und es erneut verschicken.
• Die Konsequenz: Die Gruppe denkt: "Oh, das ist ein brandneues Passwort von heute!" und benutzt es. Dabei ist es das alte, kompromittierte Passwort. Der Hacker kann die Gruppe ewig mit dem gleichen, unsicheren Passwort füttern.

C. Die "Unbedingte Sicherheit" ist ein Mythos

Die Erfinder behaupteten, ihre Verschlüsselung sei "unbedingt sicher" (wie ein Panzer, der nie aufgebrochen werden kann).

• Die Realität: Das ist wie zu sagen, ein Schloss sei unzerstörbar, solange man keinen Hammer hat. Aber wenn jemand den Hammer hat (in diesem Fall: jemand, der die Mathematik der öffentlichen Schlüssel knacken kann), ist das Schloss wertlos. Es gibt keine echte, mathematische Garantie, dass das Geheimnis sicher bleibt, wenn die Grundlagen der Mathematik angegriffen werden.

3. Das Fazit: Nicht benutzen!

Der Autor sagt ganz klar: Verwenden Sie dieses Protokoll nicht.

Es ist wie ein Haus, das auf einem Fundament aus Sand gebaut wurde. Die Architekten (die Erfinder des Protokolls) haben keine strengen Beweise geliefert, dass das Haus stabil ist. Sie haben nur gesagt: "Es sieht stabil aus." Aber ein kurzer Blick hat gezeigt, dass die Wände einstürzen, sobald jemand ein bisschen Druck ausübt.

Die Lehre für den Alltag:
Wenn jemand Ihnen einen neuen, geheimen Plan vorstellt, aber keine harten Beweise dafür liefert, warum er sicher ist, und wenn Sie sehen, dass ein einzelner Teilnehmer alles kaputt machen kann, dann vertrauen Sie dem Plan nicht. In der Welt der Cybersicherheit ist "es sieht gut aus" oft der Anfang vom Ende.

Technische Zusammenfassung

Problemstellung

Das Paper analysiert ein kürzlich veröffentlichtes Protokoll zur authentisierten Gruppenschlüsselvereinbarung (Group Key Establishment), das von Harn und Hsu [2] vorgeschlagen wurde. Ziel dieses Protokolls ist es, einer vordefinierten Gemeinschaft von Benutzern zu ermöglichen, eine beliebige Teilmenge (Gruppe) zu bilden und sich auf einen gemeinsamen geheimen Schlüssel zu einigen. Dieser Schlüssel soll von einem Initiator gewählt und an alle Gruppenmitglieder verteilt werden.

Harn und Hsu behaupteten, dass das Protokoll folgende Sicherheitseigenschaften bietet:

1. Schlüsselauthentifizierung: Die Teilnehmer können verifizieren, dass der Schlüssel vom behaupteten Initiator stammt und „frisch" (neu generiert) ist.
2. Unbedingte Sicherheit: Die Verschlüsselung durch das verwendete Secret-Sharing-Verfahren sei unbedingtsicher.
3. Robustheit: Das Protokoll soll sowohl gegen externe Angreifer als auch gegen Insider-Angriffe (legitime Mitglieder, die versuchen, andere zu impersonieren) resistent sein.

Chris J. Mitchell stellt fest, dass diese Behauptungen falsch sind und das Protokoll schwerwiegende Sicherheitslücken aufweist, die eine Nutzung unmöglich machen.

Methodik

Die Analyse basiert auf einer detaillierten Überprüfung der Spezifikation des Harn-Hsu-Protokolls unter Anwendung etablierter kryptografischer Prinzipien und Angriffsszenarien.

1. Protokollrekonstruktion: Mitchell beschreibt den Ablauf des Protokolls, bei dem ein Initiator einen ephemeren (einmaligen) Geheimwert $s$ wählt, damit einen Diffie-Hellman-artigen Schlüssel $k_{zi}$ mit jedem Gruppenmitglied berechnet und mittels Lagrange-Interpolation ein Polynom $f(x)$ konstruiert. Der eigentliche Gruppenschlüssel $K$ ist der y-Achsenabschnitt $f(0)$. Die Teilnehmer rekonstruieren $K$ durch Interpolation unter Verwendung ihrer eigenen berechneten Schlüssel und der vom Initiator gesendeten öffentlichen Punkte.
2. Schwachstellenanalyse: Das Paper untersucht das Protokoll auf:
   • Fehlende Spezifikationen (z. B. Identifikatoren).
   • Die Behauptung der unbedingten Sicherheit im Kontext des Diskreten-Logarithmus-Problems.
   • Die Folgen einer Kompromittierung eines Gruppenschlüssels.
   • Insider-Angriffsszenarien, bei denen ein legitimes Mitglied den Initiator nachahmt.

Hauptbeiträge und Ergebnisse

Mitchell identifiziert vier kritische Mängel, die die Sicherheit des Protokolls vollständig untergraben:

1. Fehlende Informationen und Spezifikationslücken

• Die Spezifikation erwähnt nicht explizit, dass die Benutzer-IDs Elemente von $\mathbb{Z}_q$ sein müssen.
• Der Broadcast-Nachricht fehlen die Identifikatoren des Initiators und der Zielgruppe. Dies zwingt alle Benutzer im System, den Schlüsselversuch zu starten, was zu unnötigen Rechenlasten führt und es den Empfängern unmöglich macht, zu wissen, wer sonst noch den Schlüssel kennt.

2. Widerlegung der „unbedingten Sicherheit"

• Die Behauptung, das Secret-Sharing sei unbedingtsicher, ist falsch. Die Sicherheit hängt vollständig von der Schwierigkeit des Diskreten-Logarithmus-Problems ab. Wenn ein Angreifer den privaten Schlüssel eines Benutzers aus dessen öffentlichem Schlüssel ableiten kann (z. B. durch Lösen des DLP), kann er alle einmaligen Schlüssel $k_{zi}$ berechnen und somit den Gruppenschlüssel $K$ aus dem Broadcast rekonstruieren. Es gibt keine informationstheoretische Sicherheit.

3. Wiederverwendung kompromittierter Schlüssel (Replay-Angriff)

• Wenn ein Gruppenschlüssel $K$ einmal kompromittiert wurde (z. B. durch einen Insider oder einen Angreifer mit Zugriff auf den Broadcast), kann dieser Angreifer den Initiator nachahmen.
• Da der Angreifer $K$ und die öffentlichen Polynom-Punkte $(a_i, f(a_i))$ kennt, kann er einen neuen Zeitstempel $t'$ wählen und die Hash-Werte $h(t'||K)$ berechnen.
• Er sendet den alten Broadcast mit dem neuen Zeitstempel. Alle Empfänger akzeptieren dies als gültigen, neuen Schlüssel, da die Hash-Prüfung erfolgreich ist. Der Angreifer kann den kompromittierten Schlüssel unbegrenzt wiederverwenden, was die Eigenschaft der Schlüsselauthentifizierung bricht.

4. Impersonation durch Insider (Kritischster Befund)

• Dies ist der schwerwiegendste Angriff. Da jedes legitime Gruppenmitglied $U_{zi}$ nach Erhalt des Broadcasts in der Lage ist, das Polynom $f(x)$ zu rekonstruieren, kann es auch die Werte $k_{zj}$ für alle anderen Gruppenmitglieder berechnen (indem es $f(ID_{zj})$ berechnet).
• Ein Insider kann somit zu einem beliebigen Zeitpunkt einen neuen Schlüssel $K^*$ wählen, ein neues Polynom $f^*(x)$ konstruieren, das durch die bekannten $k_{zj}$-Werte und den neuen Schlüssel läuft, und diesen neuen Schlüssel an die gesamte Gruppe senden.
• Der Angreifer nutzt dabei den ursprünglichen ephemeren Wert $r$ (da dieser für die Berechnung der $k$-Werte benötigt wird, aber nicht vom Angreifer selbst generiert wurde, kann er den alten $r$-Wert wiederverwenden, solange die $k$-Werte konsistent bleiben).
• Ergebnis: Jeder Gruppenmitglied kann den Initiator vollständig impersonieren und beliebige Schlüssel an die Gruppe verteilen. Dies widerspricht direkt der Sicherheitsannahme, dass Insider-Angriffe verhindert werden sollen.

Bedeutung und Fazit

Das Paper kommt zu dem Schluss, dass das Harn-Hsu-Protokoll nicht verwendet werden sollte, da es die von den Autoren behaupteten Sicherheitseigenschaften nicht erfüllt.

• Fehlende formale Beweise: Mitchell kritisiert, dass das Originalpaper keine rigorosen Sicherheitsbeweise auf Basis moderner „provable security"-Techniken enthält. Die Sicherheitsargumente basieren auf informellen Annahmen, was zu den fundamentalen Fehlern geführt hat.
• Historischer Kontext: Der Autor verweist darauf, dass Harn und Lin bereits 2010 ein ähnliches, fehlerhaftes Protokoll basierend auf Secret-Sharing veröffentlicht hatten, was auf ein wiederkehrendes Muster von Fehlern in diesem spezifischen Forschungsgebiet hinweist.
• Warnung vor Reparaturversuchen: Es wird davon abgeraten, das Protokoll einfach zu „reparieren". Ohne einen begleitenden, formalen Sicherheitsbeweis besteht eine hohe Wahrscheinlichkeit, dass subtile Fehler bestehen bleiben. Die Analyse der oben genannten Fehler konnte in wenigen Stunden durchgeführt werden, ohne dass versucht wurde, alle möglichen Angriffe zu finden.

Zusammenfassend demonstriert das Paper, wie gefährlich es ist, kryptografische Protokolle ohne formale Verifikation einzusetzen, insbesondere wenn sie auf komplexen Kombinationen von Secret-Sharing und Diffie-Hellman basieren.