Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.

Weitere Magazine

Empfehlungen

Info

34 2. DISKRETE LOGARITHMUS IDENTIFIKATION BEWEIS. Ang. H(m) = H(m ′ ), dann ist jede DSA-Signatur von m ′ auch DSA-Signatur von m. � Lemma 2.4.2 gilt nicht für Schnorr-Signaturen. Kollisionen H( ¯g,m) = H( ¯g ′ ,m ′ ) mit ¯g �= ¯g ′ sind unschädlich. LEMMA 2.4.3. Damit Schnorr-Signaturen sicher gegen CMA sind, muss H( ¯g,∗) für fast alle ¯g schwer invertierbar sein. BEWEIS. Andernfalls erfragt A Signaturen (e,y) zu zufälligen m und löst H(g y h −e ,m ′ ) = e nach m ′ . Dann ist (e,y) Signatur für m ′ . � In [FeigeFiatShamir1988] werden die Begriffe „completeness” und „sound” im Rahmen von Identifikationen definiert: DEFINITION. Ein Paar interaktiver prob. Polynomialzeit Turingmaschinen Ā, ¯B werden interaktives Beweissystem über das Wissen für das Polynomialzeit Prädikat P(I,S) genannt, wenn gilt: (1) Completeness: Für alle I, für die P(I,S) erfüllbar ist ist die Ausführung von (Ā, ¯B) für die Eingabe I mit sehr großer Wahrscheinlichkeit erfolgreich. Formal: ∀a, ∃c, ∀|I| > c : if Ā hat auf seinem „Wissensband” ein S,so dass P(I,S), und ¯B hat einen leeren String auf seinem „Wissensband” then Ws((Ā, ¯B)accepts I) > 1 − 1/|I| a . Wenn wir es mit dem echten Prover Ā zu tun haben, so enthält sein „Wissensband” ein geeignetes S. Das Wissensband des Verifiers wird als leer angenommen. (2) Soundness: Es gibt eine prob. pol.zeit Turing Maschine M (mit voller Kontrolle über A), so dass es für alle A, jeden beliebigen initialen Inhalt von A’s Wissensband KA und Zufallsband RA, ein genügend langes I gibt, so dass, wenn die Ausführung von (A, ¯B) bei der Eingabe I mit einer nicht zu vernachlässigenden Wahrscheinlichkeit erfolgreich ist, dann genügt die Ausgabe, die von M am Ende der Ausführung von M(A,RA,KA) auf die Eingabe I produziert wird, dem Prädikat P mit sehr großer Wahrscheinlichkeit. Formal: ∀a, ∃M, ∀b, ∀A, ∃c, ∀|I| > c, ∀RA, ∀KA gilt: Ws((A, ¯B) akzeptiert I) > 1/|I| a ⇒ Ws(Ausgabe von M(A,RA,KA) fuer I genuegt P) > 1 − 1/|I| b .
2.5. OKAMOTO DL-IDENTIFIKATION 35 2.5. Okamoto DL-Identifikation [Okamoto1992] Ziel: Beweisbar sichere DL-Identifikation ohne ROM. Öffentlich: g1 ,g2 ,G = � � � � g1 = g2 und |G| = q Private-Key: (x1 ,x2 ) ∈R �2 q. Public-Key: h = g x1 1 gx2 2 . Das Protokoll hat folgenden Ablauf: (P,V ) Ok P V 1. r1 ,r2 ∈R �q ¯g := g r1 1 gr2 2 → 2. ← e e ∈ R [0,2 t [ 3. y i := r i + ex i y 1 ,y 2 → ¯g ? = g y 1 1 gy 2 2 h−e Korrektheit. Die Korrektheit ergibt sich aus der folgenden Gleichung: g y 1 1 gy 2 2 h−e = g r1 +ex1 1 = g r1 1 gr2 2 g r2 +ex2h 2 −e = ¯g. LEMMA 2.5.1. Es gibt ein pol. Zeit ˜P mit Erfolgswahrscheinlichkeit 2 −t . BEWEIS. Der Ablauf ist: 1. ˜P wählt ˜e ∈R [0,2t [, r1 ,r2 ∈R �q und sendet dann ¯g = g r1 2. B sendet e ∈R [0,2t [. 3. ˜P sendet y1 := r1 , y2 := r2 . 1 gr2 2 h− ˜e . Falls nun e = ˜e gilt ist ¯g = g y 1 1 gy 2 2 h−e . � Offenbar ist (P,V ) Ok honest verifier zero-knowledge, da ˜V zur Simulation genauso verteilt sein muss wie V . LEMMA 2.5.2. Hat ˜P in ( ˜P,V ) Ok für w ˜P bei zwei Paaren (e,y), (ē, ¯y) ∈ [0,2t [×�q Erfolg, dann gilt logg2 g1 = ¯y 2 − y2 + x2 (e − ē) y1 − ¯y 1 + x1 (ē − e) . BEWEIS. Es gilt Somit gilt Also ist g y 1 1 gy 2 2 h−e = ¯gw ˜P = g ¯y 1 1 g ¯y 2 2 h−ē . g y1− ¯y 1g 1 y2− ¯y 2 = h 2 e−ē = (g x1 1 gx2 2 )e−ē . g y 1 − ¯y 1 +x 1 (ē−e) 1 = g ¯y 2 −y 2 +x 2 (e−ē) 2 und es folgt die Behauptung. � O.B.d.A. ist log g2 g 1 dem Erzeuger von g 1 ,g 2 nicht bekannt.
Seite 1 und 2: Vorlesungen „Kryptographie I und
Seite 3 und 4: Inhaltsverzeichnis Teil 1. Kryptogr
Seite 5: Teil 1 Kryptographie I
Seite 8 und 9: 8 1. DISKRETER LOGARITHMUS UND PROT
Seite 10 und 11: 10 1. DISKRETER LOGARITHMUS UND PRO
Seite 22 und 23: 22 2. DISKRETE LOGARITHMUS IDENTIFI
Seite 43 und 44: KAPITEL 3 Faktorisierungsproblem, P
Seite 45 und 46: 3.1. ONG-SCHNORR IDENTIFIKATION 45
Seite 47 und 48: 3.1. ONG-SCHNORR IDENTIFIKATION 47
Seite 49 und 50: Der Zerlegungsalgorithmus �FA fü
Seite 51 und 52: KAPITEL 4 Sicherheit im Generischen
Seite 53 und 54: 4.2. DEFINITION GENERISCHER ALGORIT
Seite 55 und 56: 4.3. DAS DL-PROBLEM 55 Triviale Kol
Seite 57 und 58: 4.6. SEMANTISCHE SICHERHEIT DER ELG
Seite 59 und 60: 4.7. SICHERHEIT DER DL-IDENTIFIKATI
Seite 61 und 62: 4.9. SIGNIERTE ELGAMAL VERSCHLÜSSE
Seite 63 und 64: 4.9. SIGNIERTE ELGAMAL VERSCHLÜSSE
Seite 65: 4.10. ALLGEMEINE ELGAMAL VERSCHLÜS
Seite 69 und 70: KAPITEL 5 Identifikation, On-the-fl
Seite 71 und 72: 1 A 0 � ˜y − y� 1 � BS/A 0
Seite 73 und 74: 5.5. GPS-SIGNATUREN, ON-THE-FLY-SIG
Seite 75: 5.5. GPS-SIGNATUREN, ON-THE-FLY-SIG
Seite 78 und 79: 78 6. FAIRER SCHLÜSSELTAUSCH Versc
Seite 80 und 81: 80 6. FAIRER SCHLÜSSELTAUSCH Für
Seite 82 und 83: 82 6. FAIRER SCHLÜSSELTAUSCH Setze
Seite 84 und 85:
84 6. FAIRER SCHLÜSSELTAUSCH BEWEI
Seite 87 und 88:
KAPITEL 7 Bit-Hinterlegung und perf
Seite 89 und 90:
Es gilt 7.2. BIT HINTERLEGUNG (BIT
Seite 91 und 92:
7.4. DER x 2 mod N-GENERATOR UND QU
Seite 93 und 94:
7.4. DER x 2 mod N-GENERATOR UND QU
Seite 95 und 96:
Es gilt 7.4. DER x 2 mod N-GENERATO
Seite 97 und 98:
7.5. VERIFIABLE SECRET SHARING NACH
Seite 99 und 100:
7.6. RECHNEN MIT VERTEILTEN DATEN 9
Seite 101 und 102:
7.8. ALLGMEINES VERTEILTES RECHNEN
Seite 103 und 104:
7.8. ALLGMEINES VERTEILTES RECHNEN
Seite 105 und 106:
mit 7.9. PSEUDO RANDOM FUNKTIONEN N
Seite 107:
KAPITEL 8 Pseudozufallsgeneratoren
Seite 111 und 112:
(2 s ,2 t )-schwer, 11 (k,n) Thresh
Seite 113 und 114:
Literaturverzeichnis [Beutelspacher
Alle anzeigen

Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?