Handreichung zum Fiat-Shamir-Protokoll - Universität Koblenz ...

Handreichung zu Fiat-Shamir
Daniel Pähler
16. Dezember 2011
1 Auswahl der Schlüssel
1. Die zentrale Vertrauensinstanz T kennt die Primzahlen p und q sowie
n = p · q.
2. T wählt den privaten Schlüssel s und berechnet v, so dass gilt v −1 ≡
s 2 (mod n). Anders ausgedrückt: T berechnet v ≡ (s 2 ) −1 (mod n).
3. T gibt das Schlüsselpaar (v, s) Peggy.
4. T nimmt (Peggy, v) in sein öffentliches Verzeichnis auf und bürgt somit
dafür, dass der öffentliche Schlüssel v wirklich der Person Peggy gehört.
Anmerkung: streng genommen ist die Schlüsselauswahl nicht Teil des Fiat-
Shamir-Protokolls. So könnte Peggy n, v und s auch selbst festlegen; sie müsste
nur für die Veröffentlichung der Zahl n sowie der Zuordnung (Peggy, v) sorgen.
2 Peggy beweist Victor, dass sie s kennt, ohne
s zu verraten
Der folgende Beweisvorgang wird zwischen Peggy und Victor mehrfach wiederholt:
1. Peggy wählt ein r < n und berechnet x = r 2 mod n.
2. Peggy sendet x an Victor. Falls Victor Peggys öffentlichen Schlüssel v nicht
bereits im Vorfeld (von T) erfahren hat, kann Peggy auch v senden.
3. Victor wählt ein e ∈ {0, 1} und sendet e an Peggy.
4. Peggy berechnet y = r · s e ( mod n) und sendet y an Victor. Abhängig von
dem Wert e, den Victor bestimmt hat, gilt also
(e = 0) y = r mod n
(e = 1) y = r · s 1 mod n
5. Victor prüft, ob y 2 ≡ x · v −e (mod n) gilt. Dies entspricht
(e = 0) y 2 ≡ x (mod n) / falls Peggy wirklich wie in Schritt 1 x aus r
berechnet hat, gelingt diese Überprüfung.
1

(e = 1) y 2 ≡ x·v −1 ( mod n) / falls Peggy wirklich den geheimen Schlüssel
s sowie das zufällig gewählte r zum berechnen von y verwendet hat,
gelingt diese Prüfung, da gilt:
y 2 ≡ (r · s) 2 ≡ r 2 · s 2 ≡ x · v −1 (mod n)
3 Betrugsmöglichkeiten für Peggy
Bei jedem Durchlauf des Protokolls hat Peggy die Chance zu betrügen: Wenn
sie jeweils vor einem neuen Durchlauf geschickt rät, welchen Wert Victor für e
wählt, kann sie das Protokoll zu einem erfolgreichen Abschluss bringen, ohne s
zu kennen. Offensichtlich ist die Wahrscheinlichkeit, den Wert von e im Voraus
richtig zu raten, 1 2
. Analog ist die Wahrscheinlichkeit, bei m Durchläufen des
1
Protokolls jedesmal richtig zu raten und so erfolgreich zu betrügen,
2
. m
Ablauf des Betrugs falls e = 0: Rechnet Peggy damit, dass Victor e = 0
wählt, ist der Betrug leicht: sie rät wie in Schritt 1 angegeben r und sendet
x = r 2 mod n und sendet dann in Schritt 4 y = r; hierzu benötigt sie an keiner
Stelle den Wert von s. Victor prüft in Schritt 5 erfolgreich, dass y 2 ≡ r 2 ≡
x(mod n) gilt.
Ablauf des Betrugs falls e = 1: Rechnet Peggy damit, dass Victor e = 1
wählt, geht sie wie folgt vor: in Schritt 1 sendet sie x = r 2 · v mod n, in Schritt
4 dann y = r. Auch in dieser Variante braucht Peggy den Wert von s nicht zu
kennen. Victor prüft in Schritt 5, ob y 2 ≡ x·v −1 ( mod n) gilt. Durch Einsetzen
der Werte für x und y, die Peggy gesendet hat, ergibt sich y 2 ≡ r 2 · v · v −1 ≡
r 2 (mod n), die Prüfung verläuft also erfolgreich.
Zu beachten ist also, dass Peggy, falls sie betrügen will, sich schon in Schritt 1
entscheiden muss, welche Methode sie verwendet. Sendet sie x = r 2 mod n und
Victor entscheidet sich, dass er y = r·s −1 mod n sehen will, scheitert der Betrug,
da Peggy s nicht kennt. Der Betrug scheitert ebenso, wenn sie x = r 2 · v mod n
sendet und Victor sich entscheidet, dass er y = r mod n sehen will, da Peggy
√
r2 · v mod n nicht kennt.
4 Anmerkung
In der hier beschriebenen Variante des Fiat-Shamir-Protokolls wird (wie in den
Vorlesungsfolien) v als Inverses von s 2 mod n gebildet; in anderen Quellen wird
v = s 2 mod n berechnet. Beide Verfahren sind gleichwertig, es ist allerdings zu
beachten, dass im beschriebenen Protokollablauf sowie in den Betrugsmöglichkeiten
v durch v −1 ersetzt werden muss, wenn v mit der zweiten Methode gebildet
wird.
2