Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

78
A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr
77
A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr
R
f
0
f
1
Daraus folgt ( 2
n
) = –1.
Nehmen wir nun an, jemand habe eine Kollision gefunden, also x, y mit f0 (x)=f1 (y). Dann gilt
s(1)
s(0)
Bild 3-22: Mini-GMR für eine 1-Bit-Nachricht. s(0) und s(1) sind die möglichen Signaturen.
Sicherheit, Skizze: Einen echten aktiven Angriff gibt es hier nicht, da nur eine Nachricht signiert
wird. Es kann aber sein, daß ein Fälscher die Signatur unter m = 0 erhalten hat und daraus die unter
m=1 fälschen möchte oder umgekehrt. Man ahnt anhand von Bild 3-22, daß das heißt, daß der
Angreifer eine Kollision findet.
Ganz so einfach ist es aber nicht: Er hat ja bei der einen Hälfte der Kollision die Hilfe des
Unterzeichners gehabt, der das Geheimnis kennt und sowieso Kollisionen berechnen kann. Wir
müssen zeigen, daß der Fälscher auch ohne diese Hilfe an irgendeine Kollision kommt:
O.B.d.A. wird nur der erste Fall betrachtet, also m = 0 ist gegeben. Wir nehmen an, daß es
hierfür einen guten Fälschungsalgorithmus F mit Eingabe (n, R, s(0)) gäbe, und zeigen, daß es dann
auch einen guten Kollisionsfinde-Algorithmus K gibt:
K : Eingabe n.
Wähle eine „Signatur“ S0 ∈ Dn zufällig. (Hier wird gebraucht, daß das allein mit dem öffentlichen
Schlüssel geht. Da S0 nicht mit dem Signieralgorithmus gewählt wird, wird es nicht mit s(0)
bezeichnet. Entsprechendes gilt unten für die Bezeichnung S1 statt s(1).)
Berechne R := f0(S0 ).
Verwende nun F mit Eingabe (n, R, S0 ). Wenn F erfolgreich ist, nenne das Ergebnis S1 .
Ausgabe: (S0 , S1 ).
x2 ≡ ± (2y) 2 mod n.
Das Vorzeichen „–“ ist nicht möglich, weil –1 kein Quadrat mod n ist. Also sind x und 2y zwei
Wurzeln derselben Zahl. Nach §3.4.1.9 können wir damit definitiv faktorisieren, wenn sie wesentlich
verschieden sind, d.h.
x ≠ ±2y.
Dies folgt daraus, daß sie schon verschiedene Jacobi-Symbole haben: Wegen x, y ∈ Dn haben x und
y das Jacobi-Symbol +1, und wegen §3.4.1.8 gilt
( ±2y
) = (±1)
• (2)
• (y)
= 1 • (–1) • 1 ≠ 1 = (x
n n n n n ).
Das Umkehren mittels Geheimnis geht so: Ist x = f –1
0 (y) gesucht, so testet man zunächst, ob y selbst
ein Quadrat ist (s. §3.4.1.7). Andernfalls ist nach Definition von f0 : y = –x2 , d.h. –y = x2 . Man zieht
also die Wurzel aus y bzw. –y nach dem Verfahren aus §3.4.1.8. Die so erhaltene Wurzel w ist selbst
ein Quadrat (vgl. §3.4.1.6), hat also das Jacobi-Symbol +1. Je nachdem, ob sie < oder ≥ n/2 ist,
setzt man x = +w bzw. –w.
Für f –1
1 (y) ist zusätzlich nach dem Wurzelziehen modulo n durch 2 zu dividieren. Da 2 das
Jacobi-Symbol –1 hat, f –1
1 (y) aber im Definitionsbereich der Permutationen liegen, also Jacobi-
Symbol 1 haben muß, muß wegen der Multiplikativität des Jacobi-Symbols der Wert nach dem
Wurzelziehen Jacobi-Symbol –1 haben. Hierzu werden nach dem Wurzelziehen mod p und mod q die
Ergebnisse mit unterschiedlichem Vorzeichen in den CRA eingesetzt.
Klar ist, daß dieses K immer eine Kollision findet, wenn sein Aufruf von F erfolgreich ist. Zu zeigen
ist also nur, daß F hier genauso oft erfolgreich ist, wie wenn es mit einer „echten“ Referenz und
Signatur aufgerufen wird. Echte Referenzen sind zufällig, und das hiesige R ist auch zufällig (weil S0 zufällig ist und f0 eine Permutation ist, also jedes R bei genau einen S0 vorkommt). Bei diesem R ist
S0 die (einzige) richtige Signatur.
3.5.3 Grundsignaturen: Große Tupel kollisionsresistenter Permutationen
Allgemeineres: Wenn man kollisionsresistente Permutationenpaare mit Geheimnis präzis definiert
(s. [GoMR_88]), benötigt man nicht nur ein Paar (f0, f1), sondern eine ganze Familie davon in
Abhängigkeit von einem Schlüssel, damit jeder, der so ein Paar braucht, eins wählen kann, von dem
nur er das Geheimnis kennt. Dazu gehört ein Schlüsselgenerierungsalgorithmus gen, mit dem man
das Geheimnis und den öffentlichen Schlüssel wählen kann.
Bei der konkreten Konstruktion war das automatisch der Fall: gen ist der Algorithmus zur Wahl
von p und q, die das Geheimnis sind, und zur Berechnung des öffentlichen Schlüssels n. Für jedes n
ergibt sich ein anderes Paar, man müßte also genauer f (n)
0 , f1
(n) schreiben.
Die Kollisionsresistenz wird wieder so definiert, daß kein polynomialer Algorithmus für lange
Schlüssel mit signifikanter Wahrscheinlichkeit Kollisionen findet, analog zur Faktorisierungsannahme.
Außerdem braucht man, daß man allein mit dem öffentlichen Schlüssel effizient ein zufälliges
Element des jeweiligen Definitionsbereichs wählen kann. Konkret geht das so:
Wir bauen jetzt als zweiten Schritt GMR so aus, daß eine beliebig lange Nachricht signiert werden
kann (aber nach wie vor nur eine einzige).
Die Idee ist dieselbe wie oben für ein Bit: Man hätte gern für jede dieser Nachrichten eine
Funktion fm (so wie oben f0 und f1 für die zwei Nachrichten m = 0 bzw. 1). Als öffentlichen
Schlüssel wählt man wieder zusätzlich zu n eine Referenz R69 , und die Signatur unter die Nachricht
m soll
Wahl eines zufälligen Elementes aus Dn: Man wählt z ∈ ZZ *
n zufällig und quadriert es; ist z2 < n/2, so wählt man x := z2 , andernfalls x := –z2 .
s(m) := f m –1 (R)
3.5.2 Mini-GMR für eine Nachricht aus nur einem Bit
sein (Bild 3-23), wobei man f m –1 wieder nur mit Hilfe des Geheimnisses berechnen kann.
Wenn nur eine Nachricht signiert werden soll, und diese nur ein Bit lang sein wird, kann man einfach
ein kollisionsresistentes Permutationenpaar nehmen: Der geheime Signierschlüssel s ist (p, q); der
öffentliche Testschlüssel t besteht aus n und einer sogenannten Referenz R, die der Unterzeichner
zufällig aus Dn wählt.
Die Signatur unter die Nachricht m = 0 ist f –1
0 (R), die unter m = 1 ist f1 –1 (R) (Bild 3-22).
69
Für diesen vereinfachten Fall, daß die Referenz dem Angreifer vor seiner Wahl der zu signierenden Nachricht bekannt
ist, ist die Sicherheit von GMR nicht bewiesen; wir sehen auch nicht, wie sie bewiesen werden könnte.