Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.

Weitere Magazine

Empfehlungen

Info

36 2. DISKRETE LOGARITHMUS IDENTIFIKATION Betrachte den aktiven Angreifer A. A fordert l-mal (P, ˜V ) Ok und erzeugt dann ( ˜P,V ) Ok Signatur mit ˜V A , ˜P A . Hat A Erfolgswahrscheinlichkeit ≥ 2 −t+1 , dann liefert die Koalition [P,A] den geheimen log g2 g 1 . PROPOSITION 2.5.3. Zu (V,P) Ok gibt es einen prob. Alg. AL : (A,x) ↦→ log g2 g 1 mit Ew|AL| = O(|A|/ε), sofern A Erfolgswahrscheinlichkeit ε ≥ 2 −t+1 hat – o.B.d.A. enthalte |A| auch |P|. BEWEIS. AL konstruiert zu einem w A Erfolge zu zwei Paaren (e,y), (ē, ¯y) und berechnet log g2 g 1 nach Lemma 2.5.2. Zur Simulation von A wird die Kommunikation (P, ˜V ) Ok mit Hilfe von P erzeugt. AL entsteht durch eine Koalition von P und A. Im Übrigen arbeitet AL wie der Alg. AL von Satz 2.3.8 auf Seite 32. � COROLLARY 2.5.4. (V,P) Ok ist sicher gegen aktive Angriffe, gdw. der DL schwer ist. Man beachte, dass für aktive Angriffe die Protokolle (P k , ˜V ), (P, ˜V ) I , (P, ˜V ) Ok auf verschiedene Weise simuliert werden: (P k , ˜V ) in Satz 2.2.6 auf Seite 29: Das Protokoll (P k , ˜V ) wird mit t = O(1) durch einen pol. Zeit Simulator perfekt simuliert. (P, ˜V ) I in Satz 2.3.8 auf Seite 32: Das Protokoll (P, ˜V ) I wird im ROM simuliert, indem AL geeignete zufällige H selbst wählt. (P, ˜V ) Ok in Satz 2.5.3: Das Protokoll (P, ˜V ) Ok wird mit Hilfe des geheimen Schlüssels x simuliert. Dies geht, weil AL in Satz 2.5.3 log g2 g 1 und nicht x = log g h berechnet. Fazit: In der Praxis wird oft das Schnorr-Schema dem Okamoto-Schema vorgezogen, obwohl es für dieses keinen Beweis der Sicherheit gibt – nicht einmal unter der Annahme, dass das DL-Problem schwer ist. Das liegt daran, dass bis heute keine Schwäche im Schnorr-Schema gefunden wurde und es in der Praxis um einiges schneller ist als das Okamoto-Schema. 2.6. Okamoto Signaturen Öffentlich: g1 ,g2 ,G = � � � � g1 = g2 und |G| = q mit Hashfunktion H : G × {0,1} ∗ → [0,2 t [. Public-Key: h = g x1 1 gx2 2 . Private-Key: (x1 ,x2 ) ∈R �2 q. Signaturerzeugung: r1 ,r2 ∈R �q, ¯g := g r1 1 gr2 2 , e := H( ¯g,m), yi := ri + exi für i = 1,2. Signatur zu m: (e,y1 ,y2 ) ∈ [0,2t [×�2 q. Prüfung: H(g y 1 1 gy 2 2 h−e ,m) ? = e. In [Okamoto1992] wird in Theorem 20 versucht, Sicherheit gegen CMA zu beweisen. Dieses Theorem ist jedoch in sich widersprüchlich und kompliziert.
2.7. BRICKELL-MCCURLEY-IDENTIFIKATION 37 2.7. Brickell-McCurley-Identifikation [BrickellMcCurley92, Seite 29-39] „DL-Identifikation sicher wie Faktorisierung”. Seien p,q,w Primzahlen mit p − 1 = 2qw, w �= q, g ∈ � ∗ p \ {1} und g q ≡ 1. Öffentlich: p,g,qw. Public-Key: h = g x . Private-Key: q,w mit q · w schwer zerlegbar, x. In dem Protokoll nach [BrickellMcCurley92] wird einfach in (V,P) q durch qw = (p − 1)/2 ersetzt: (P,V ) BM P V 1. r ∈ R �qw ¯g := g r → 2. ← e e ∈ R [0,2 t [ 3. y := r + ex mod qw y → g ? = g y h −e Wir übertragen Satz 2.1.2 auf Seite 22 von (P,V ) auf (P,V ) BM . ˜P ist Angreifer aus dem Stand. PROPOSITION 2.7.1. Es gibt einen prob. Alg. AL : ( ˜P,h) ↦→ log g h mit Ew|AL| = O(| ˜P|/ε), sofern ˜P Erfolgswahrscheinlichkeit ε ≥ 2 −t+1 hat. BEWEIS. (Skizze) AL konstruiert zu einem w, ¯g zwei Lösungen (e,y) und ( ˜e, ˜y): g y h −e = ¯g = g ˜y h − ˜e ⇒ log g h = y − ˜y e − ˜e mod qw. O.B.d.A. gilt ggT(e − ˜e,qw) = 1, andernfalls erhält AL die Zerlegung (p − 1)/2 = q · w. Wir beschreiben die Reduktion Zerlegung von (p − 1)/2 ≤ pol ˜P. Wegen g q = 1 und h ∈ 〈g〉 gibt es ein eind. bestimmtes z ∈ �q mit h = g z . Es gilt FACT 2.7.2. x ist stat. unabh. von z − ˜z x = z = mod qw e − ˜e � logg h � = {z + iq | u = 0,...,w − 1}. y− ˜y e− ˜e ∈ [log g h]. BEWEIS. Sei x = z + iq. AL hängt nur von h = gx und nicht von i ab. Es folgt � � y − ˜y Wsx[ggT − x,qw = q] = 1 − e − ˜e 1 w , da nur im Fall i = 0 ein ggT ungleich q herauskommt. � PROPOSITION 2.7.3. Es gibt einen prob. Alg. AL : ( ˜P,qw) ↦→ {q,w} mit Ew|AL| = O(| ˜P|/ε) sofern ˜P Erfolgsw. ε ≥ 2 −t+1 hat. �
Seite 1 und 2: Vorlesungen „Kryptographie I und
Seite 3 und 4: Inhaltsverzeichnis Teil 1. Kryptogr
Seite 5: Teil 1 Kryptographie I
Seite 8 und 9: 8 1. DISKRETER LOGARITHMUS UND PROT
Seite 10 und 11: 10 1. DISKRETER LOGARITHMUS UND PRO
Seite 22 und 23: 22 2. DISKRETE LOGARITHMUS IDENTIFI
Seite 43 und 44: KAPITEL 3 Faktorisierungsproblem, P
Seite 45 und 46: 3.1. ONG-SCHNORR IDENTIFIKATION 45
Seite 47 und 48: 3.1. ONG-SCHNORR IDENTIFIKATION 47
Seite 49 und 50: Der Zerlegungsalgorithmus �FA fü
Seite 51 und 52: KAPITEL 4 Sicherheit im Generischen
Seite 53 und 54: 4.2. DEFINITION GENERISCHER ALGORIT
Seite 55 und 56: 4.3. DAS DL-PROBLEM 55 Triviale Kol
Seite 57 und 58: 4.6. SEMANTISCHE SICHERHEIT DER ELG
Seite 59 und 60: 4.7. SICHERHEIT DER DL-IDENTIFIKATI
Seite 61 und 62: 4.9. SIGNIERTE ELGAMAL VERSCHLÜSSE
Seite 63 und 64: 4.9. SIGNIERTE ELGAMAL VERSCHLÜSSE
Seite 65: 4.10. ALLGEMEINE ELGAMAL VERSCHLÜS
Seite 69 und 70: KAPITEL 5 Identifikation, On-the-fl
Seite 71 und 72: 1 A 0 � ˜y − y� 1 � BS/A 0
Seite 73 und 74: 5.5. GPS-SIGNATUREN, ON-THE-FLY-SIG
Seite 75: 5.5. GPS-SIGNATUREN, ON-THE-FLY-SIG
Seite 78 und 79: 78 6. FAIRER SCHLÜSSELTAUSCH Versc
Seite 80 und 81: 80 6. FAIRER SCHLÜSSELTAUSCH Für
Seite 82 und 83: 82 6. FAIRER SCHLÜSSELTAUSCH Setze
Seite 84 und 85: 84 6. FAIRER SCHLÜSSELTAUSCH BEWEI
Seite 87 und 88:
KAPITEL 7 Bit-Hinterlegung und perf
Seite 89 und 90:
Es gilt 7.2. BIT HINTERLEGUNG (BIT
Seite 91 und 92:
7.4. DER x 2 mod N-GENERATOR UND QU
Seite 93 und 94:
7.4. DER x 2 mod N-GENERATOR UND QU
Seite 95 und 96:
Es gilt 7.4. DER x 2 mod N-GENERATO
Seite 97 und 98:
7.5. VERIFIABLE SECRET SHARING NACH
Seite 99 und 100:
7.6. RECHNEN MIT VERTEILTEN DATEN 9
Seite 101 und 102:
7.8. ALLGMEINES VERTEILTES RECHNEN
Seite 103 und 104:
7.8. ALLGMEINES VERTEILTES RECHNEN
Seite 105 und 106:
mit 7.9. PSEUDO RANDOM FUNKTIONEN N
Seite 107:
KAPITEL 8 Pseudozufallsgeneratoren
Seite 111 und 112:
(2 s ,2 t )-schwer, 11 (k,n) Thresh
Seite 113 und 114:
Literaturverzeichnis [Beutelspacher
Alle anzeigen

Vorlesungen „Kryptographie I und II” Bei Prof. Dr ... - Schnorr, C.P.

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?