Kapitel 2EinmalsignaturenEinmalsignaturverfahren, oder kurz „Einmalsignaturen“, sind eine grundlegende und recht einfacheKlasse von Signaturverfahren. Sie müssen nur relativ schwache Sicherheitseigenschaften erfüllen, dennes reicht aus wenn sie bei einmaliger Verwendung sicher sind. Einmalige Verwendung bedeutet, dass fürjeden public key nur eine einzige Signatur ausgestellt wird.Auf den ersten Blick erscheint das Konzept von Einmalsignaturen nicht besonders sinnvoll. Wofürsoll es gut sein ein Signaturverfahren zu haben, mit dem man nur eine einzige Signatur ausstellen kann?Interessanterweise sind Einmalsignaturen ein sehr starkes Werkzeug. Insbesondere können wir sieverwenden, um aus ihnen auf generische Art und Weise Mehrfach-Signaturverfahren zu konstruieren,mit denen wir dann eine praktisch unbeschränkte Anzahl von <strong>Signaturen</strong> ausstellen können. Die resultierenden<strong>Signaturen</strong> können starke Sicherheitseigenschaften haben, wie zum Beispiel EUF-CMA-Sicherheit.Einmalsignaturen können von sehr schwachen Komplexitätsannahmen konstruiert werden, wie zumBeispiel der Schwierigkeit des diskreten Logarithmusproblems oder, noch allgemeiner, der Existenzvon Einwegfunktionen. Zusammen mit der zuvor genannten generischen Konstruktion von Mehrfach-<strong>Signaturen</strong> aus Einmalsignaturen ist dies interessant, da es dabei hilft die minimal nötigen Komplexitätsannahmenfür die Konstruktion digitaler <strong>Signaturen</strong> zu erforschen. Darüber hinaus sind Einmalsignaturenein wichtiger Baustein für viele kryptographische Konstruktionen.In diesem Kapitel passen wir zunächst die bekannten Sicherheitsdefinitionen EUF-CMA und EUFnaCMAauf Einmalsignaturen an. Danach betrachten wir eine allgemeine Konstruktion von Einmalsignaturenaus Einwegfunktionen und zwei spezielle Konstruktionen basierend auf konkreten Komplexitätsannahmen.Zum Schluss stellen wir einige Anwendungen von Einmalsignaturen vor. Dazu gehörteine generische Konstruktion an, die es erlaubt aus einem beliebigen EUF-naCMA-sicheren Signaturverfahrenein EUF-CMA-sicheres Signaturverfahren zu bauen. Diese Transformation ist sehr hilfreich,und wird in der Literatur immer wieder benutzt. Danach beschreiben wir Baum-basierte <strong>Signaturen</strong>(„Merkle Trees“).2.1 SicherheitsdefinitionFalls wir einem Angreifer erlauben wollen (non-adaptive) chosen-message Signaturanfragen zu stellen,wie wir es im CMA und naCMA Angreifermodell tun, so müssen bei der Betrachtung von Einmalsignaturverfahrenbeachten, dass solche Verfahren nur dann Sicherheit gewährleisten müssen, wenn nur eineeinzige Signatur ausgestellt wird.16
Challenger CAngreifer A(pk, sk) $ ← Gen(1 k )Vfy(pk, m ∗ , σ ∗ ) ? = 1m←− −−−−−−−−−(pk, σ)− −−−−−−−−−→←− (m∗ , σ ∗ )−−−−−−−−−Abbildung 2.1: Das EUF-1-naCMA Sicherheitsexperiment.Aus diesem Grunde werden wir die CMA und naCMA Angreifermodelle für die Betrachtung vonEinmalsignaturen abschwächen. Anstatt die Anzahl der Nachrichten, für die der Angreifer eine Signaturanfragen kann, durch ein Polynom q = q(k) zu beschränken, erlauben wir bei Einmalsignaturen nur eineeinzige Signaturanfrage. Wir setzen also q = 1. Wenn wir dieses Angreifermodell mit dem Angreiferzielexistential forgery (EUF) kombinieren, ergeben sich dadurch zwei neue Sicherheitsdefinitionen• existential unforgeability under one-time adaptive chosen-message attack (EUF-1-CMA)• existential unforgeability under one-time non-adaptive chosen-message attack (EUF-1-naCMA)Wir werden uns in diesem Kapitel insbesondere für EUF-1-naCMA-Sicherheit interessieren, dadies ausreicht (wie wir später sehen werden), um daraus EUF-CMA-sichere <strong>Signaturen</strong> zu konstruieren.Daher beweisen wir in diesem Kapitel nur, dass Lamport’s Einmalsignaturverfahren EUF-1-naCMAsicherist, unter der Annahme dass die Funktion f eine Einwegfunktion ist. 1EUF-1-naCMA-Sicherheit.Abbildung 2.1):Das EUF-1-naCMA-Sicherheitsexperiment läuft wie folgt ab (siehe auch1. Der Angreifer A wählt eine Nachricht m, für die er eine Signatur vom Challenger erhalten möchte.2. Der Challenger C erzeugt ein Schlüsselpaar (pk, sk)Sign(sk, m), und sendet (pk, σ) an A.3. A gibt eine Nachricht m ∗ mit Signatur σ ∗ aus.$← Gen(1 k ) sowie eine Signatur σ$ ←Definition 20. Wir sagen, dass (Gen, Sign, Vfy) ein EUF-1-naCMA-sicheres Einmalsignaturverfahrenist, falls für alle Polynomialzeit-Angreifer A im EUF-1-naCMA-Experiment gilt, dassPr[A C = (m ∗ , σ ∗ ) : Vfy(pk, m ∗ , σ ∗ ) = 1 ∧ m ∗ ≠ m] ≤ negl(k)für eine vernachlässigbare Funktion negl im Sicherheitsparameter.Übungsaufgabe 21. Beschreiben Sie das EUF-1-CMA-Sicherheitsexperiment und geben Sie eine Definitionan wann der Angreifer im Experiment gewinnt.1 Man kann auch zeigen, dass Lamport-<strong>Signaturen</strong> EUF-1-CMA-sicher sind. Der Beweis ist sehr ähnlich, daher eignet ersich gut als Übungsaufgabe.17
- Seite 1 und 2: Digitale SignaturenTibor Jagertibor
- Seite 3 und 4: Inhaltsverzeichnis1 Einführung 31.
- Seite 5 und 6: Kapitel 1EinführungEin Sender möc
- Seite 7 und 8: Das stimmt nicht. Es trifft auf nah
- Seite 11 und 12: Challenger CAngreifer A(pk, sk) $
- Seite 13 und 14: Alle „≤“-Beziehungen einzeln
- Seite 15 und 16: Wir müssen also stets die Laufzeit
- Seite 17: Bemerkung 19. Die obige Transformat
- Seite 21 und 22: f : {0, 1} ∗ → {0, 1} ∗Challe
- Seite 23 und 24: Die Correctness dieses Verfahrens i
- Seite 27 und 28: Definition 29. Sei N := P Q das Pro
- Seite 29 und 30: Fall 2: m ∗ − m ∈ [1, 2 n −
- Seite 31 und 32: Jeder erfolgreiche Angreifer ruft e
- Seite 33 und 34: 2.5.1 q-mal SignaturenAus einem Ein
- Seite 35 und 36: h 0,1h 1,1h 1,2h 2,1 h 2,2 h 2,3 h
- Seite 37 und 38: eine Funktion, die als Eingabe eine
- Seite 39 und 40: Kapitel 3Chamäleon-HashfunktionenA
- Seite 41 und 42: Man beachte, dass A nicht die Trapd
- Seite 43 und 44: Sign(sk, m, ch): Der Signaturalgori
- Seite 45 und 46: Jeder erfolgreiche Angreifer ruft e
- Seite 47 und 48: Sign(sk, m). Um eine Nachricht m
- Seite 49 und 50: für eine vernachlässigbare Funkti
- Seite 51 und 52: Kapitel 4RSA-basierte Signaturverfa
- Seite 53 und 54: UUF-NMA-Sicherheit. Man kann durch
- Seite 55 und 56: Random Oracle mit Liste LAngreifer
- Seite 57 und 58: Angreifer, die niemals H(m ∗ ) be
- Seite 59 und 60: Eine wichtige Klasse von praktische
- Seite 61 und 62: Daher erhält B von A eine Lösung
- Seite 63 und 64: sieht. Daher konnten wir den Wert s
- Seite 65 und 66: GHR-Signaturen mit spezieller Funkt
- Seite 67 und 68: Beweis von Theorem 77. B startet A,
- Seite 69 und 70:
4.5 Offene ProblemeDas Hohenberger-
- Seite 71 und 72:
2. Nicht-Degeneriertheit. Für Gene
- Seite 73 und 74:
Vfy(pk, m, σ). Der Verifikationsal
- Seite 75 und 76:
Das Problem. Sei U 1 , . . . , U n
- Seite 77 und 78:
5.3.1 Programmierbare Hashfunktione
- Seite 79 und 80:
Bemerkung 96. In anderen Kontexten
- Seite 81 und 82:
Die so simulierten Signaturen sind
- Seite 83 und 84:
Unmöglichkeitsbeweis, dass es kein
- Seite 85 und 86:
der Fiat-Shamir Heuristik [FS87] au
- Seite 87 und 88:
6.2.1 Das SignaturverfahrenSei im F
- Seite 89 und 90:
hoher Wahrscheinlichkeit) den gehei
- Seite 91 und 92:
4. Zum Schluss prüft Vfy, ob die a
- Seite 93 und 94:
Literaturverzeichnis[BB04][BF01]Dan
- Seite 95 und 96:
[Deb08][DHT12][DN10][DOP05][DSS09][
- Seite 97 und 98:
[KL07]Jonathan Katz and Yehuda Lind