Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.

Weitere Magazine

Empfehlungen

Info

32 2. DISKRETE LOGARITHMUS IDENTIFIKATION w ˜P H(g j ,m j ) ∈ [0,2 t [ e ERF 2 t Spalten ABBILDUNG 2.3.1. Erfolgsmatrix bei der DL-Identifikation mit kurzer Kommunikation Wir versuchen nun, Satz 2.3.3 auf Seite 30 auf aktive Angreifer A zu übertragen: A führt dazu ¯l-mal (P, ˜V ) I und dann ( ˜P,V ) I mit ˜V = ˜V A , ˜P = ˜P A aus. Kernidee: AL erzeugt die Verteilung (P, ˜V ) I selbst ohne x. AL wählt r ∈R �q, e ∈R [0,2t [ und setzt H(g y h −e ,m ˜V ) = e. AL erzeugt damit exakt die Verteilung von (P,V ) I im ROM. Dieser Schritt zählt als Orakel-Anfrage und eine nochmalige, echte Befragung des H-Orakels zu H(gyh−e ,m ˜V ) wird verboten. PROPOSITION 2.3.8. Es sei A ein aktiver Angreifer zu (P,V ) I , der das H-Orakel l-mal befragt. Im ROM gibt es einen prob. Alg. AL : (A,h) ↦→ log g h mit E h,w |AL| = O(l|A|/ε), sofern A Erfolgswahrscheinlichkeit ε ≥ 2 −t+1 hat. Die Anzahl l der H-Orakel Fragen spielt dieselbe Rolle wie im Bew. von Satz 2.3.3 auf Seite 30. Nach Satz 2.3.8 gilt also DL ≤ pol aktive Angriffe zu (P,V ) I . Chosen Message Attack (CMA) auf Schnorr Signaturen. Ein Angriff könnte folgendermassen aussehen: (1) Der Angreifer A erzeugt Signaturen zu Nachrichten seiner Wahl mittels des Signatur- Orakels. (2) Dann erzeugt er eine neue Signatur – aber dieses Mal ohne das Signatur-Orakel. PROPOSITION 2.3.9. Sei A ein CMA-Angreifer auf Schnorr-Signaturen mit l Aufrufen des H-Orakels. Im ROM gibt es einen prob. Alg. AL : (A,h) ↦→ log g h mit E H,w |AL| = O(l|A|/ε), sofern A Erfolgswahrscheinlichkeit ε ≥ 2 −t+1 l hat. COROLLARY 2.3.10. Im ROM sind Schnorr-Signaturen sicher gegen CMA sofern DL schwer ist. BEWEIS. Der Beweis von Satz 2.3.9 ist analog zu Satz 2.3.3 und Satz 2.3.8. Der Angreifer A erzeugt für die CMA-Attacke die erforderlichen Unterschriften, indem er die
2.4. ABWEHR DER MAN-IN-THE-MIDDLE-ATTACK 33 Werte von H selbst zufällig wählt. Jede solche Erzeugung eines H-Wertes gilt als Orakel- Aufruf und die nochmalige, echte Befragung des Orakels an derselben Stelle ist verboten. � Historie. Der Vorschlag H : G × {0,1} ∗ → [0,2 t [ als Zufallsfunktion zu betrachten geht zurück auf [FiatShamir1986]. Weiter ausgearbeitet wurde das ROM durch Bellare, Rogaway in [BellareRogaway1993]. Das ROM ist weithin anerkannt aber auch umstritten. Es bedeutet, dass die Werte H(g i ,m i ) für i = 1,...,l, die ein Angreifer auswählt, statistisch unabhängig sind. Der Algorithmus AL von Satz 2.1.2 auf Seite 22 wurde eingeführt in [FeigeFiatShamir1988] für das Fiat-Shamir-Schema. Die Übertragung von AL auf die DL-Identifkation ist in [Schnorr1991] erschienen. Die Übertragung von Satz 2.1.2 auf DL-Signaturen mit stat. unabhängigen H-Orakeln steht erstmals in [PointchevalStern1996] (Orakel Replay Attacke, Forking Lemma). Das dort bewiesene Lemma 1 ist viel schwächer als Satz 2.3.9. Faustregel. Die Analyse einer 3-Runden Identifikation ist einfacher als die des zugehörigen Signatur-Verfahrens. Ist die Identifikation sicher gegen aktive Angriffe, dann sind die zugehörigen Signaturen sicher gegen CMA sofern die Hashfunktion keine Schwächen hat. 2.4. Abwehr der Man-in-the-middle-Attack Idee: P muss wissen, mit welchem V er kommuniziert. Dazu fordert P den öffentlichen Schlüssel h V von V an. Das Protokoll läuft dann wie folgt ab: (P,V ) II P ← h V → V 1. ← m m ∈ R {0,1} ∗ 2. r ∈ R �q, e := H(g r ,(m,h V )), y := r + xe ∈ �q e,y → 3. H(g y h −e ,(m,h V )) ? = e Die Kommunikation in (P,V ) II identifiziert P und V . Die Identifikation ist flüchtig, ohne bleibende Bedeutung. Häufig sind man-in-the-middle-Attacken und aktive Attacken durch die Situation praktisch ausgeschlossen, z.B. bei der Identifikation einer Chipkarte gegenüber dem Geldausgabeautomat (GA). Die Identifizierung des GA gegenüber der Chipkarte ist kryptographisch sinnlos und dient nur zu Prüfzwecken. Ein betrügerischer GA erfragt die Pinnummer, behält die Karte und meldet „Störung”. Schwächere Annahmen als ROM. DEFINITION 2.4.1. H ist kollisionsresistent, wenn keine Kollision (w,w ′ ) mit w �= w ′ , H(w) = H(w ′ ) bekannt ist. In der asymptotischen Theorie verlangt man, dass Kollisionen nicht in pol. Zeit konstruierbar sind. LEMMA 2.4.2. Damit DSA-Signaturen sicher gegen CMA sind, muss H kollisionsresistent sein.
Seite 1 und 2: Vorlesungen „Kryptographie I und
Seite 3 und 4: Inhaltsverzeichnis Teil 1. Kryptogr
Seite 5: Teil 1 Kryptographie I
Seite 8 und 9: 8 1. DISKRETER LOGARITHMUS UND PROT
Seite 10 und 11: 10 1. DISKRETER LOGARITHMUS UND PRO
Seite 22 und 23: 22 2. DISKRETE LOGARITHMUS IDENTIFI
Seite 43 und 44: KAPITEL 3 Faktorisierungsproblem, P
Seite 45 und 46: 3.1. ONG-SCHNORR IDENTIFIKATION 45
Seite 47 und 48: 3.1. ONG-SCHNORR IDENTIFIKATION 47
Seite 49 und 50: Der Zerlegungsalgorithmus �FA fü
Seite 51 und 52: KAPITEL 4 Sicherheit im Generischen
Seite 53 und 54: 4.2. DEFINITION GENERISCHER ALGORIT
Seite 55 und 56: 4.3. DAS DL-PROBLEM 55 Triviale Kol
Seite 57 und 58: 4.6. SEMANTISCHE SICHERHEIT DER ELG
Seite 59 und 60: 4.7. SICHERHEIT DER DL-IDENTIFIKATI
Seite 61 und 62: 4.9. SIGNIERTE ELGAMAL VERSCHLÜSSE
Seite 63 und 64: 4.9. SIGNIERTE ELGAMAL VERSCHLÜSSE
Seite 65: 4.10. ALLGEMEINE ELGAMAL VERSCHLÜS
Seite 69 und 70: KAPITEL 5 Identifikation, On-the-fl
Seite 71 und 72: 1 A 0 � ˜y − y� 1 � BS/A 0
Seite 73 und 74: 5.5. GPS-SIGNATUREN, ON-THE-FLY-SIG
Seite 75: 5.5. GPS-SIGNATUREN, ON-THE-FLY-SIG
Seite 78 und 79: 78 6. FAIRER SCHLÜSSELTAUSCH Versc
Seite 80 und 81: 80 6. FAIRER SCHLÜSSELTAUSCH Für
Seite 82 und 83:
82 6. FAIRER SCHLÜSSELTAUSCH Setze
Seite 84 und 85:
84 6. FAIRER SCHLÜSSELTAUSCH BEWEI
Seite 87 und 88:
KAPITEL 7 Bit-Hinterlegung und perf
Seite 89 und 90:
Es gilt 7.2. BIT HINTERLEGUNG (BIT
Seite 91 und 92:
7.4. DER x 2 mod N-GENERATOR UND QU
Seite 93 und 94:
7.4. DER x 2 mod N-GENERATOR UND QU
Seite 95 und 96:
Es gilt 7.4. DER x 2 mod N-GENERATO
Seite 97 und 98:
7.5. VERIFIABLE SECRET SHARING NACH
Seite 99 und 100:
7.6. RECHNEN MIT VERTEILTEN DATEN 9
Seite 101 und 102:
7.8. ALLGMEINES VERTEILTES RECHNEN
Seite 103 und 104:
7.8. ALLGMEINES VERTEILTES RECHNEN
Seite 105 und 106:
mit 7.9. PSEUDO RANDOM FUNKTIONEN N
Seite 107:
KAPITEL 8 Pseudozufallsgeneratoren
Seite 111 und 112:
(2 s ,2 t )-schwer, 11 (k,n) Thresh
Seite 113 und 114:
Literaturverzeichnis [Beutelspacher
Alle anzeigen

Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?