Elementare Zahlentheorie und Kryptographie
Elementare Zahlentheorie und Kryptographie
Elementare Zahlentheorie und Kryptographie
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
c) Man nimmt an, daß es keine Möglichkeit gibt, zu vorgegebenen Nachrichten<br />
m eine gültige Unterschrift von X zu erzeugen, ohne diskrete Logarithmen<br />
zu lösen.<br />
d) Gibt es ein Verfahren, um ein Paar (m, S) zu erzeugen, wobei S eine<br />
gültige Unterschrift zu m ist? (Wir verlangen nicht, daß m dabei beeinflußt<br />
werden kann.) Mit anderen Worten: Kann man irgendeinen “Zufallstext”<br />
(Kauderwelsch) m <strong>und</strong> eine gültige Unterschrift von X zu m finden 13 ?<br />
Wir nehmen die Antwort vorweg: Es wäre möglich, wenn die Hashfunktion<br />
unsicher wäre.<br />
Oskar wählt u, v mit [v] ∈ (Z/l) × . Er setzt<br />
γ := g u EX v ,<br />
s := −[v] −1 h ′ (γ),<br />
S := (γ, s)<br />
<strong>und</strong> fragt sich, zu welchen Kontrollwerten h(m) diese Signatur passen<br />
würde. Es gilt<br />
γ s E h′ (γ)<br />
X<br />
= g [u][v]−1 h ′ (γ) .<br />
Sei m ′ = [u][v] −1 h ′ (γ). Wenn es gelingt ein m ∈ {0, 1} ∗ zu finden mit<br />
h(m) = m ′ (aber das ist bei sicheren Hashfunktionen praktisch nicht<br />
möglich), dann ist S eine gültige Unterschrift von X zu m.<br />
e) Nimm an, X hat beim Unterschreiben zweier Nachrichten m 1 ≠ m 2 den<br />
selben Zufallswert k ≥ 2 verwendet, obwohl das ausdrücklich verboten<br />
ist. Die Unterschriften sind dann von der Form S X (m 2 ) = (γ, s 1 ) <strong>und</strong><br />
S X (m 2 ) = (γ, s 2 ) mit γ = g k <strong>und</strong> s i = [k] −1 ([h(m i )] − [d X h ′ (γ)]). Entscheidend<br />
ist, daß γ nun nicht von i abhängt.<br />
Dann gilt s 1 − s 2 = [k] −1 [h(m 1 ) − h(m 2 )] <strong>und</strong> daraus folgt 14<br />
[k] = (s 1 − s 2 ) −1 [h(m 1 ) − h(m 2 )].<br />
In Kenntnis von m, γ, s 1 , s 2 kann Oskar also [k] finden. (Er kennt dann<br />
alle Größen, die auf der rechten Seite vorkommen.) Wenn er [k] einmal<br />
hat, dann kann er den geheimen Exponenten [d X ] von X mit der Methode<br />
aus b) berechnen. Wer d X hat, der kann zu beliebigen Nachrichten m<br />
Unterschriften von X erzeugen.<br />
f) Natürlich bietet sich auch hier die Möglichkeit eines Man-in-the-Middle-<br />
Angriffs. Wenn es Oskar gelingt, Alice davon zu überzeugen, sein öffentlicher<br />
Schlüssel E O wäre der öffentliche Schlüssel von Xaver. Dann kann<br />
Oskar Signaturen zu beliebigen Nachrichten erzeugen, die für Alice so aussehen,<br />
als kämen sie von Bob.<br />
Abwehr von Man-in-the-Middle-Angriffen durch Trustcenter:<br />
Um die Man-in-the-Middle-Angriffe in den Abschnitten 5.2.-5.5. (MIM-Angriff<br />
auf ElGamal-Verschlüsselung, ElGamal-Signatur oder auf Diffie-Hellman) abzuwehern,<br />
muß jeder User X den öffentlichen Schlüssel von jedem anderen User<br />
auf Echtheit überprüfen können. Hierzu werden Trustcenter verwendet.<br />
13 Es fragt sich natürlich, ob das schlimm wäre; ein Angreifer wird in aller Regel Unterschriften<br />
zu von ihm gewählten Nachrichten erzeugen wollen<br />
14 In aller Regel wird s 1 ≠ s 2 gelten.<br />
81