Kryptographie schützt unsere tägliche digitale Kommunikation. Nach dem Prinzip von Kerckhoff sind die Beschreibungen unserer kryptographischen Algorithmen öffentlich bekannt; ihre Sicherheit beruht ausschließlich auf der Geheimhaltung der Schlüssel. Schlüsselaustauschprotokolle gehören zu den wichtigsten Werkzeugen, um eine sichere Verteilung kryptographischer Schlüssel zu gewährleisten. Sie ermöglichen es zwei ehrlichen Parteien, sich über ein öffentliches, unsicheres Netzwerk auf denselben Schlüssel zu einigen. Mit diesem Schlüssel können die beiden Parteien einen sicheren Kommunikationskanal aufbauen. Schlüsselaustauschprotokolle sind daher entscheidend für die Sicherheit unzähliger realer Protokolle und Anwendungen, einschließlich des Transport Layer Security-Protokolls, sicherer Nachrichtenübermittlung und Cloud-Speicherlösungen. Fast ein halbes Jahrhundert nach der Erfindung des Diffie-Hellman-Protokolls besteht noch immer eine erhebliche Lücke zwischen der theoretischen und der praktischen Ausgestaltung von Schlüsselaustauschprotokollen: Einige Protokolle werden zwar formal in kleinen, idealisierten Umgebungen analysiert, doch ihre Sicherheit wird nicht durch robuste Analysen gestützt. Andere Protokolle streben robuste Sicherheit an, jedoch oft auf Kosten der Effizienz. Zudem ist die bestehende Forschung in Bezug auf Robustheit unvollständig. Beispielsweise wird der Speicherverbrauch bei Sicherheitreduktionen häufig vernachlässigt. Aktuelle Kryptanalysen zeigen jedoch, dass eine Reduktion mit hohem Speicherbedarf zu weniger aussagekräftigen Sicherheitsgarantien führen kann, insbesondere wenn das zugrundeliegende Problem speicherempfindlich ist (z. B. das Learning-With-Errors-Problem). Mit unserem Antrag schlagen wir vor, neue Grundlagen für Schlüsselaustauschprotokolle mit robuster Sicherheit zu schaffen. Wir verfolgen drei konkrete Ziele: Erstens wollen wir die Lücke zwischen Robustheit und Effizienz verringern, indem wir die Effizienz bestehender eng sicherer Schlüsselaustauschprotokolle verbessern. Enge Sicherheit bedeutet hierbei, dass ein Protokoll unabhängig von der Anwendungsgröße denselben Sicherheitsgrad gewährleistet. Zweitens werden wir unser Verständnis robuster Schlüsselaustauschprotokolle vervollständigen, indem wir speichereffiziente Sicherheitsbeweise entwickeln. Dabei werden wir sowohl den Speicherverbrauch bestehender Beweise analysieren als auch neue Protokolle mit speichereffizienten Beweisen entwerfen. Drittens werden wir die Robustheit von Schlüsselaustauschprotokollen stärken, indem wir Protokolle entwickeln, die auch dann sicher bleiben, wenn die (zentralen) Public-Key-Infrastrukturen nicht vollständig vertrauenswürdig sind.

DFG-Verfahren Sachbeihilfen