Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.
Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.
Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
2.4. ABWEHR DER MAN-IN-THE-MIDDLE-ATTACK 33<br />
Werte von H selbst zufällig wählt. Jede solche Erzeugung eines H-Wertes gilt als Orakel-<br />
Aufruf <strong>und</strong> die nochmalige, echte Befragung des Orakels an derselben Stelle ist verboten.<br />
�<br />
Historie. Der Vorschlag H : G × {0,1} ∗ → [0,2 t [ als Zufallsfunktion zu betrachten<br />
geht zurück auf [FiatShamir1986]. Weiter ausgearbeitet wurde das ROM durch Bellare,<br />
Rogaway in [BellareRogaway1993]. Das ROM ist weithin anerkannt aber auch umstritten.<br />
Es bedeutet, dass die Werte H(g i ,m i ) für i = 1,...,l, die ein Angreifer auswählt, statistisch<br />
unabhängig sind.<br />
Der Algorithmus AL von Satz 2.1.2 auf Seite 22 wurde eingeführt in [FeigeFiatShamir1988]<br />
für das Fiat-Shamir-Schema. Die Übertragung von AL auf die DL-Identifkation ist in<br />
[<strong>Schnorr</strong>1991] erschienen.<br />
Die Übertragung von Satz 2.1.2 auf DL-Signaturen mit stat. unabhängigen H-Orakeln steht<br />
erstmals in [PointchevalStern1996] (Orakel Replay Attacke, Forking Lemma). Das dort<br />
bewiesene Lemma 1 ist viel schwächer als Satz 2.3.9.<br />
Faustregel. Die Analyse einer 3-R<strong>und</strong>en Identifikation ist einfacher als die des zugehörigen<br />
Signatur-Verfahrens. Ist die Identifikation sicher gegen aktive Angriffe, dann sind<br />
die zugehörigen Signaturen sicher gegen CMA sofern die Hashfunktion keine Schwächen<br />
hat.<br />
2.4. Abwehr der Man-in-the-middle-Attack<br />
Idee: P muss wissen, mit welchem V er kommuniziert. Dazu fordert P den öffentlichen<br />
Schlüssel h V von V an.<br />
Das Protokoll läuft dann wie folgt ab:<br />
(P,V ) II P ← h V → V<br />
1. ← m m ∈ R {0,1} ∗<br />
2. r ∈ R �q, e := H(g r ,(m,h V )), y := r + xe ∈ �q e,y →<br />
3. H(g y h −e ,(m,h V )) ? = e<br />
Die Kommunikation in (P,V ) II identifiziert P <strong>und</strong> V . Die Identifikation ist flüchtig, ohne<br />
bleibende Bedeutung. Häufig sind man-in-the-middle-Attacken <strong>und</strong> aktive Attacken durch<br />
die Situation praktisch ausgeschlossen, z.B. bei der Identifikation einer Chipkarte gegenüber<br />
dem Geldausgabeautomat (GA).<br />
Die Identifizierung des GA gegenüber der Chipkarte ist kryptographisch sinnlos <strong>und</strong> dient<br />
nur zu Prüfzwecken. Ein betrügerischer GA erfragt die Pinnummer, behält die Karte <strong>und</strong><br />
meldet „Störung”.<br />
Schwächere Annahmen als ROM.<br />
DEFINITION 2.4.1. H ist kollisionsresistent, wenn keine Kollision (w,w ′ ) mit w �= w ′ ,<br />
H(w) = H(w ′ ) bekannt ist.<br />
In der asymptotischen Theorie verlangt man, dass Kollisionen nicht in pol. Zeit konstruierbar<br />
sind.<br />
LEMMA 2.4.2. Damit DSA-Signaturen sicher gegen CMA sind, muss H kollisionsresistent<br />
sein.