Digitale Signaturen - Tibor Jager
Digitale Signaturen - Tibor Jager
Digitale Signaturen - Tibor Jager
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
A erhält nun als Eingabe (pk, σ). Der pk ist perfekt ununterscheidbar von einem public key im„echten“ EUF-1-naCMA Experiment und σ ist eine gültige Signatur für m bezüglich pk. Daher wird A(nach Annahme) mit Wahrscheinlichkeit ɛ A eine Nachricht m ∗ zusammen mit einer gefälschten Signaturσ ∗ ausgeben, sodass m ∗ ≠ m und Vfy(pk, m ∗ , σ ∗ ) = 1.B hofft nun darauf, dass A eine gültige Signatur σ ∗ fälscht für eine Nachricht m ∗ = (m ∗ 1 , . . . , m∗ n) ∈{0, 1} n , sodass sich m ∗ an der ν-ten Stelle von m unterscheidet. Da sich m ∗ an mindestens einer Positionvon m unterscheidet, und A absolut keine Information über ν erhält, tritt dies mit Wahrscheinlichkeitmindestens 1/n ein. In diesem Falle lernt B ein Urbild von y, das er benutzen kann um das Sicherheitsexperimentfür Einwegfunktionen zu gewinnen.B ist also erfolgreich, wenn (i) A erfolgreich ist und (ii) sich m ∗ von m an der ν-ten Stelle unterscheidet,also m ∗ ν ≠ m ν . Dabei tritt (i) nach Annahme mit Wahrscheinlichkeit ɛ A ein und (ii) mitWahrscheinlichkeit mindestens 1/n. Da der Angreifer keine Information über ν erhält sind beide Ereignissevon einander unabhängig. Daher istɛ B ≥ ɛ A · 1/n.Ausserdem haben wir t A ≈ t B , denn die Laufzeit von B entspricht ungefähr der Laufzeit von A, pluseinem kleinen Overhead.Mit nahezu der gleichen Beweistechnik ist es leicht möglich direkt zu zeigen, dass Lamport-<strong>Signaturen</strong>auch sicher im Sinne von one-time adaptive chosen-message attacks (EUF-1-CMA) sind. Dies ist einesimple Erweiterung des hier vorgestellten Beweises, die sich gut als Übungsaufgabe eignet.Bemerkung 24. Wenn man sich den Beweis von Theorem 23 näher ansieht und etwas darüber nachdenkt,dann kann man sehen, dass er im Wesentlichen aus zwei wichtigen Teilen besteht:1. Simulation: Zuerst muss der Algorithmus B, der gerne den Signatur-Angreifer A benutzen möchteum ein „schwieriges“ Problem zu lösen (nämlich die im Falle von Theorem 23 die Invertierungeiner Einwegfunktion), dafür sorgen dass A auch mit der gewünschten Erfolgswahrscheinlichkeitɛ A eine gefälschte Signatur ausgibt. Daher muss die „Sicht“ von A ununterscheidbar vom echtenSicherheitsexperiment sein — ansonsten könnte es sein, dass A nicht mehr funktioniert, wennsich seine Sicht auf das Experiment vom echten Sicherheitsexperiment unterscheidet.Aus diesem Grunde war es wichtig, dass B den pk so berechnet hat, dass er ganz genauso verteiltist wie in einem echten Sicherheitsexperiment. Auch die Signatur σ, die A von B erhalten hat,war für A perfekt ununterscheidbar von einer Signatur im echten Experiment.Wenn man es schafft, den Angreifer A zu überzeugen dass er tatsächlich im echten Sicherheitsexperimentteilnimmt, dann ist das schonmal die „halbe Miete“ im Sicherheitsbeweis, denn dannliefert er uns eine Fälschung (m ∗ , σ ∗ ) mit Erfolgswahrscheinlichkeit ɛ A .2. Extraktion: Die „zweite Hälfte der Miete“ ist nun, dass wir aus der gefälschten Signatur (m ∗ , σ ∗ )noch die Lösung für das schwierige Problem extrahieren müssen.Zum Beispiel im Falle von Lamport-<strong>Signaturen</strong> konnten wir hoffen, dass A uns mit guter Wahrscheinlichkeitdas gesuchte Urbild von y als Teil der Signatur liefert.Diese zwei Aufgaben sind der Kern aller Sicherheitsbeweise für digitale <strong>Signaturen</strong>. Auch neue Signaturverfahrenwerden in der Regel so konstruiert dass man später im Sicherheitsbeweis einerseits denpk und ggfs. gültige <strong>Signaturen</strong> simulieren kann, und andererseits später die Lösung eines schwierigenProblems aus der Fälschung extrahieren kann.22
Change language