Digitale Signaturen - Tibor Jager

Empfehlungen

Info

2. Dann wird pk (1) mit dem langlebigen sk signiert:σ ′ := Sign ′ (sk, pk (1) ).Die Signatur σ für Nachricht m ist σ := (pk (1) , σ (1) , σ ′ ).Vfy(pk, m, σ). Der Verifikationsalgorithmus prüft ob beide in σ = (pk (1) , σ (1) , σ ′ ) enthaltenen Signaturengültig sind. Die Signatur wird akzeptiert, also es wird 1 ausgegeben, wennAnsonsten wird 0 ausgegeben.Vfy (1) (pk (1) , m, σ (1) ) = 1 und Vfy ′ (pk, pk (1) , σ ′ ) = 1.Die Idee der Transformation ist also zuerst jede Nachricht mit einem frisch generierten Schlüssel vonΣ 1 zu signieren. Der frisch generierte Schlüssel wird dann mit Hilfe des langlebigen Schlüssels sk„zertifiziert“.Theorem 32. Für jeden Angreifer A, der die EUF-CMA-Sicherheit von Σ in Zeit t A mit Erfolgswahrscheinlichkeitɛ A bricht, und dabei höchstens q Signaturanfragen stellt, existiert ein Angreifer B der inZeit t B ≈ t A läuft und• entweder die EUF-1-naCMA-Sicherheit von Σ (1) bricht, mit einer Erfolgswahrscheinlichkeit vonmindestensɛ (1) ≥ ɛ A2q ,• oder die EUF-naCMA-Sicherheit von Σ ′ bricht, mit einer Erfolgswahrscheinlichkeit von mindestensɛ ′ ≥ ɛ A2 .Falls wir annehmen dass sowohl Σ ′ als auch Σ (1) sicher sind, also ɛ ′ und ɛ (1) vernachlässigbar kleinsind für alle Polynomialzeit-Angreifer B, so muss auch ɛ A vernachlässigbar klein sein.Beweis. Jeder EUF-CMA-Angreifer A stellt eine Reihe von adaptiven Signatur-Anfragen m 1 , . . . , m q ,q ≥ 0, auf welche er als Antwort Signaturen σ 1 , . . . , σ q erhält, wobei jede Signatur σ i aus drei Komponentenσ i = (pk (1)i, σ (1)∗i, σ i ′ ) besteht. Wir betrachten zwei verschiedene Ereignisse:• Ereignis E 0 tritt ein, falls der Angreifer eine gültige Fälschung (m ∗ , σ ∗ ) = (m ∗ , (pk (1)∗ , σ (1)∗ , σ ′∗ ))ausgibt, sodasspk (1)∗ = pk (1)i.für mindestens ein i ∈ {1, . . . , q}.Ereignis E 0 tritt also ein, wenn der Angreifer einen temporären public key pk (1)iaus einer derSignaturen σ i ∈ {σ 1 , . . . , σ q } wieder benutzt.• Ereignis E 1 tritt ein, falls der Angreifer eine gültige Fälschung (m ∗ , σ ∗ ) = (m ∗ , (pk (1)∗ , σ (1)∗ , σ ′∗ ))ausgibt, sodasspk (1)∗ ≠ pk (1)i.für alle i ∈ {1, . . . , q}.Ereignis E 1 tritt also ein, wenn der Angreifer eine Signatur fälscht, die einen neuen temporärenpublic key pk (1)∗ enthält.28
Jeder erfolgreiche Angreifer ruft entweder Ereignis E 0 oder Ereignis E 1 hervor. Es gilt alsoɛ A ≤ Pr[E 0 ] + Pr[E 1 ].Die obige Ungleichung impliziert ausserdem, dass zumindest eine der beiden UngleichungenPr[E 0 ] ≥ ɛ A2oderPr[E 1 ] ≥ ɛ A2(2.1)erfüllt sein muss.Angriff auf die EUF-1-naCMA-Sicherheit von Σ (1) . Angreifer B versucht die EUF-1-naCMA-Sicherheit von Σ (1) zu brechen, indem er den EUF-CMA-Challenger für A simuliert. Dazu geht er wiefolgt vor.B generiert ein Schlüsselpaar (pk, sk) ← $ Gen ′ (1 k ) und rät einen Index ν ← $ {1, . . . , q}. AngreiferA erhält pk als Eingabe. Falls A eine Signatur für Nachricht m i anfragt, dann signiert B diese Nachrichtso:• Falls i ≠ ν, dann erzeugt B einen Schlüssel (pk (1)i, sk (1)Schlüssel um eine Signatur σ i = (pk (1)i, σ (1)ii), σ ′ i ) für m i zu erstellen:$← Gen (1) (1 k ) und benutzt diesenσ (1)i:= Sign (i) (sk (1)i, m i ) und σ ′ i := Sign ′ (sk, pk (1)i).Dies ist offensichtlich eine gültige Signatur für Nachricht m i .• Um Nachricht m ν zu signieren geht B anders vor. In diesem Fall gibt er m ν an seinen EUF-1-naCMA-Challenger C aus. Als Antwort erhält er vom Challenger einen public key pk ν(1) und einegültige Signatur σ ν (1) . B signiert nun noch pk ν(1) , indem erσ ′ ν := Sign ′ (sk, pk (1)ν )berechnet und gibt σ ν = (pk ν (1) , σ ν(1) , σ ν) ′ als Signatur von m ν aus. Auch diese Signatur ist offensichtlichgültig.B simuliert den EUF-CMA-Challenger für A perfekt. Wenn Ereignis E 0 eintritt, dann gibt A eineNachricht m ∗ ∉ {m 1 , . . . , m q } mit gültiger Signatur σ ∗ aus, sodass ein Index i ∈ {1, . . . , q} existiertmitσ ∗ = (pk (1)i, σ (1)∗ , σ ′∗ ).Die Signatur σ ∗ enthält also den i-ten temporären Schlüssel pk (1)i. Da der zufällige Index ν perfektvor A verborgen ist, ist dies mit Wahrscheinlichkeit 1/q genau der öffentliche Schlüssel pk ν(1) den Bvom EUF-1-naCMA-Challenger erhalten hat. Da m ∗ ≠ m ν gilt, kann B in diesem Falle das Tupel(m ∗ , σ (1)∗ ) als Fälschung an seinen Challenger C ausgeben und so das EUF-1-naCMA-Experiment miteiner Erfolgswahrscheinlichkeit von mindestensɛ (1) ≥ Pr[E 0]q(2.2)gewinnen. Die Laufzeit von B entspricht im Wesentlichen der Laufzeit von A, plus einem kleinen Overhead.29
Seite 1 und 2: Digitale SignaturenTibor Jagertibor
Seite 3 und 4: Inhaltsverzeichnis1 Einführung 31.
Seite 5 und 6: Kapitel 1EinführungEin Sender möc
Seite 7 und 8: Das stimmt nicht. Es trifft auf nah
Seite 11 und 12: Challenger CAngreifer A(pk, sk) $
Seite 13 und 14: Alle „≤“-Beziehungen einzeln
Seite 15 und 16: Wir müssen also stets die Laufzeit
Seite 17 und 18: Bemerkung 19. Die obige Transformat
Seite 19 und 20: Challenger CAngreifer A(pk, sk) $
Seite 21 und 22: f : {0, 1} ∗ → {0, 1} ∗Challe
Seite 23 und 24: Die Correctness dieses Verfahrens i
Seite 27 und 28: Definition 29. Sei N := P Q das Pro
Seite 29: Fall 2: m ∗ − m ∈ [1, 2 n −
Seite 33 und 34: 2.5.1 q-mal SignaturenAus einem Ein
Seite 35 und 36: h 0,1h 1,1h 1,2h 2,1 h 2,2 h 2,3 h
Seite 37 und 38: eine Funktion, die als Eingabe eine
Seite 39 und 40: Kapitel 3Chamäleon-HashfunktionenA
Seite 41 und 42: Man beachte, dass A nicht die Trapd
Seite 43 und 44: Sign(sk, m, ch): Der Signaturalgori
Seite 45 und 46: Jeder erfolgreiche Angreifer ruft e
Seite 47 und 48: Sign(sk, m). Um eine Nachricht m
Seite 49 und 50: für eine vernachlässigbare Funkti
Seite 51 und 52: Kapitel 4RSA-basierte Signaturverfa
Seite 53 und 54: UUF-NMA-Sicherheit. Man kann durch
Seite 55 und 56: Random Oracle mit Liste LAngreifer
Seite 57 und 58: Angreifer, die niemals H(m ∗ ) be
Seite 59 und 60: Eine wichtige Klasse von praktische
Seite 61 und 62: Daher erhält B von A eine Lösung
Seite 63 und 64: sieht. Daher konnten wir den Wert s
Seite 65 und 66: GHR-Signaturen mit spezieller Funkt
Seite 67 und 68: Beweis von Theorem 77. B startet A,
Seite 69 und 70: 4.5 Offene ProblemeDas Hohenberger-
Seite 71 und 72: 2. Nicht-Degeneriertheit. Für Gene
Seite 73 und 74: Vfy(pk, m, σ). Der Verifikationsal
Seite 75 und 76: Das Problem. Sei U 1 , . . . , U n
Seite 77 und 78: 5.3.1 Programmierbare Hashfunktione
Seite 79 und 80: Bemerkung 96. In anderen Kontexten
Seite 81 und 82:
Die so simulierten Signaturen sind
Seite 83 und 84:
Unmöglichkeitsbeweis, dass es kein
Seite 85 und 86:
der Fiat-Shamir Heuristik [FS87] au
Seite 87 und 88:
6.2.1 Das SignaturverfahrenSei im F
Seite 89 und 90:
hoher Wahrscheinlichkeit) den gehei
Seite 91 und 92:
4. Zum Schluss prüft Vfy, ob die a
Seite 93 und 94:
Literaturverzeichnis[BB04][BF01]Dan
Seite 95 und 96:
[Deb08][DHT12][DN10][DOP05][DSS09][
Seite 97 und 98:
[KL07]Jonathan Katz and Yehuda Lind
Alle anzeigen

Digitale Signaturen - Tibor Jager

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?