Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.
Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.
Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
2.2. k-FACH SEQUENTIELLE DL-IDENTIFIKATION 29<br />
LEMMA 2.2.3. Zu (P k ,V k ) gibt es einen perfekten Simulator<br />
ϕ : ( ˜V ,h) → ( ¯g,e,y)<br />
mit E � �ϕ( ˜V ,h) � � ≤ (|P k | + | ˜V |)2 t , wobei g = ( ¯g 1 ,..., ¯g k ), e = (e 1 ,...,e k ), y = (y 1 ,...,y k ).<br />
BEWEIS. (Analog zu Lemma 2.1.9 auf Seite 27) ϕ simuliert die k R<strong>und</strong>en iterativ.<br />
Sobald ˜e 1 = e 1 ,..., ˜e i = e i probt er ˜e i+1 solange bis ˜e i+1 = e i+1 . Dabei wird nur R<strong>und</strong>e<br />
i + 1 zurückgedreht. �<br />
PROPOSITION 2.2.4. Die k-fach sequentielle DL-Identifikation ist perfekt zero-knowledge<br />
falls 2 t polynomial ist, d.h.<br />
t = O(lg(Laenge der Eingabe))<br />
mit z.B. Länge der Eingabe gleich lg p falls G ⊂ � ∗ p.<br />
REMARK 2.2.5. ϕ in Lemma 2.2.3 ist um 2 tk 2 −t schneller als jedes ˜P in Satz 2.2.2 auf der<br />
vorherigen Seite sofern DL schwer ist.<br />
Fazit:<br />
Die k-fach sequentielle DL-Identifikation mit t = O(1) ist sicher gegen passive<br />
Angreifer falls der DL schwer ist.<br />
Aktive Angreifer. A fordert poly-viele Identifikationen von P k <strong>und</strong> versucht dann P k<br />
zu personifizieren: l-mal (P k , ˜V ), dann ( ˜P,V k ) mit ˜V = ˜V A , ˜P = ˜P A .<br />
PROPOSITION 2.2.6. Zu (P k ,V k ) mit t = O(1) gibt es prob. Alg.<br />
AL : (A,h) ↦→ log g h mit Ew AL |AL| = O(|AL|/ε),<br />
sofern A Erfolgswahrscheinlichkeit ε ≥ 2 −tk+1 hat.<br />
BEWEIS. (Idee) Der Algorithmus AL arbeitet im Prinzip wie AL von Satz 2.2.2 – nur<br />
wird vor jedem Aufruf von ˜P das Protokoll l-mal (P k , ˜V ) durch einen pol.-Zeit Simulator<br />
perfekt simuliert. �<br />
Fazit:<br />
Die k-fach sequentielle DL-Identifikation ist – für 2 t polynomiell – sicher gegen<br />
aktive Angreifer sofern der DL schwer ist.<br />
Man-in-the-middle-Attacke. (Desmedt, Goutier, Bengo, LNCS 293 (1988), CRYP-<br />
TO 87) A personifiziert P in ( ˜P,V ), indem er die Fragen von V in ( ˜P,V ) von P beantworten<br />
lässt.