Digitale Signaturen - Tibor Jager

Empfehlungen

Info

Das bedeutet, wir müssen im sk nicht mehr alle Schlüssel sk = (sk 1 , . . . , sk q ) speichern. Stattdessen genügt es, wenn wir einen zufälligen Seed s $ ← {0, 1} k wählen, diesen im sk speichern, und unsalle Schlüsselpaare bei Bedarf mit Hilfe von s neu generieren, wie in (2.5) dargestellt.In Kombination mit dem Merkle-Baum-basierten Signaturverfahren ergibt dies ein Signaturschema,dessen geheimer Schlüssel ebenfalls konstante Größe hat, also|pk| = O(1), |sk| = O(1), |σ| = O(log q).Die in diesem Abschnitt vorgestellte, allgemeine Technik zur „Kompression“ von geheimen Schlüsselnist für viele kryptographische Verfahren anwendbar, insbesondere Baum-basierte Signaturen undähnliche Konstruktionen. Sie geht zurück auf Oded Goldreich [Gol87]. Diese Technik kann manchmalauch verwendet werden, um zustandsbehaftete Signaturverfahren komplett zustandslos zu machen. Sieist allerdings im Falle der Hashfunktionen-basierten Merkle-Bäume nicht (bzw. nur eingeschränkt) anwendbar.2.5.5 Effizientere VariantenAuf einen großen Nachteil von allen hier vorgestellten Verfahren muss noch hingewiesen werden. Injedem Beispiel mussten alle Schlüsselpaare (pk 1 , sk 1 ), . . . , (pk q , sk q ) auf einmal berechnet werden.Entweder einmalig bei der Schlüsselerzeugung (im zustandsbehafteten Fall) oder, noch schlimmer, jedesMal bei der Erzeugung einer Signatur (im zustandslosen Fall). Insbesondere wenn q sehr groß ist, so istdies natürlich extrem ineffizient.Dieses Problem taucht nicht auf, wenn man den kompletten Baum (nicht bloß die unterste Ebene)mit Hilfe von Einmalsignaturen aufbaut, anstatt einer kollisionsresistenten Hashfunktion. Derartige Verfahrenlassen sich mit der Technik von Goldreich [Gol87] sogar vollständig zustandslos konstruieren.Wir gehen hier nicht weiter drauf ein, und verweisen auf [Kat10] für Details.Übungsaufgabe 38. Sei Σ (1) = (Gen (1) , Sign (1) , Vfy (1) ) ein Einmalsignaturverfahren, und sei q = 2 t .Konstruieren Sie nach obigem Vorbild mit Hilfe von Σ (1) ein Baum-basiertes q-mal Signaturverfahren.36
Kapitel 3Chamäleon-HashfunktionenAuch wenn der Name es suggeriert: Chamäleon-Hashfunktionen sind keine Hashfunktionen, die ihreFarbe wechseln können. Sie haben aber eine sehr ähnliche Eigenschaft, die entfernt an die Vielseitigkeiteines Chamäleons erinnert. Sie wurden im Jahr 2000 von Krawczyk und Rabin [KR00] eingeführt, undsind mittlerweile ein wichtiger Baustein für viele kryptographische Konstruktionen.In diesem Kapitel erklären wir zunächst die Idee von Chamäleon-Hashfunktionen, und geben zweikonkrete Konstruktionen an die auf dem diskreten Logarithmusproblem (DL) und dem RSA-Problembasieren. Diese Konstruktionen sind sehr ähnlich zu den DL- und RSA-basierten Einmalsignaturen diewir schon kennen. Danach beschreiben wir zwei interessante Anwendungen von Chamäleon-Hashfunktionenim Kontext von Signaturen. Als erste Anwendung stellen wir dann so genannte abstreitbare Signaturenvor. Danach zeigen wir, dass man aus einer Chamäleon-Hashfunktion immer ein Einmalsignaturverfahrenkonstruieren kann. Als letzte Anwendung zeigen wir, dass man Signaturverfahren konstruierenkann die strong existential unforgeable sind. Dies ist, wie die Bezeichnung schon verrät, einestärkere Sicherheitseigenschaft als existential unforgeability, die in manchen Anwendungen notwendigist.Neben den hier vorgestellten Beispielen haben Chamäleon-Hashfunktionen viele weitere, wichtigeAnwendungen in der Kryptographie, auf die wir hier leider nicht eingehen können. Insbesondereist an dieser Stelle die Konstruktion von CCA-sicheren Verschlüsselungsverfahren aus so genanntenidentitätsbasierten Verschlüsselungsverfahren zu nennen [Zha07] (eine Alternative zur EinmalsignaturbasiertenKonstruktion aus [CHK04]), und die Verwandtschaft zu bestimmten Identifikationsverfahren(Sigma-Protokollen) [BR08].3.1 MotivationNehmen wir an, ein Kunde K möchte eine Ware einkaufen. Es gibt zwei konkurrierende Händler H 1und H 2 , die diese Ware in gleicher Qualität liefern können. Beide Händler veröffentlichen ihre Preisenicht, sondern verhandeln jedes Mal individuell mit dem Kunden. Am liebsten will ein Händler immerein kleines bisschen günstiger sein als sein Konkurrent – jedoch weiss der eine Händler leider nicht,welchen Preis der andere Händler dem Kunden gerade genannt hat.Der Kunde fragt per E-Mail zuerst bei H 1 nach einem Preis für die Ware. Dieser antwortet miteiner E-Mail, die einen echten Schnäppchenpreis von 100 e pro Stück anbietet. Damit die Nachrichtauthentisch bei K ankommt, ist sie von H 1 digital signiert.Nun möchte der Kunde den Händler H 2 kontaktieren, und ihn um einen günstigeren Preis bitten.37
Seite 1 und 2: Digitale SignaturenTibor Jagertibor
Seite 3 und 4: Inhaltsverzeichnis1 Einführung 31.
Seite 5 und 6: Kapitel 1EinführungEin Sender möc
Seite 7 und 8: Das stimmt nicht. Es trifft auf nah
Seite 11 und 12: Challenger CAngreifer A(pk, sk) $
Seite 13 und 14: Alle „≤“-Beziehungen einzeln
Seite 15 und 16: Wir müssen also stets die Laufzeit
Seite 17 und 18: Bemerkung 19. Die obige Transformat
Seite 19 und 20: Challenger CAngreifer A(pk, sk) $
Seite 21 und 22: f : {0, 1} ∗ → {0, 1} ∗Challe
Seite 23 und 24: Die Correctness dieses Verfahrens i
Seite 27 und 28: Definition 29. Sei N := P Q das Pro
Seite 29 und 30: Fall 2: m ∗ − m ∈ [1, 2 n −
Seite 31 und 32: Jeder erfolgreiche Angreifer ruft e
Seite 33 und 34: 2.5.1 q-mal SignaturenAus einem Ein
Seite 35 und 36: h 0,1h 1,1h 1,2h 2,1 h 2,2 h 2,3 h
Seite 37: eine Funktion, die als Eingabe eine
Seite 41 und 42: Man beachte, dass A nicht die Trapd
Seite 43 und 44: Sign(sk, m, ch): Der Signaturalgori
Seite 45 und 46: Jeder erfolgreiche Angreifer ruft e
Seite 47 und 48: Sign(sk, m). Um eine Nachricht m
Seite 49 und 50: für eine vernachlässigbare Funkti
Seite 51 und 52: Kapitel 4RSA-basierte Signaturverfa
Seite 53 und 54: UUF-NMA-Sicherheit. Man kann durch
Seite 55 und 56: Random Oracle mit Liste LAngreifer
Seite 57 und 58: Angreifer, die niemals H(m ∗ ) be
Seite 59 und 60: Eine wichtige Klasse von praktische
Seite 61 und 62: Daher erhält B von A eine Lösung
Seite 63 und 64: sieht. Daher konnten wir den Wert s
Seite 65 und 66: GHR-Signaturen mit spezieller Funkt
Seite 67 und 68: Beweis von Theorem 77. B startet A,
Seite 69 und 70: 4.5 Offene ProblemeDas Hohenberger-
Seite 71 und 72: 2. Nicht-Degeneriertheit. Für Gene
Seite 73 und 74: Vfy(pk, m, σ). Der Verifikationsal
Seite 75 und 76: Das Problem. Sei U 1 , . . . , U n
Seite 77 und 78: 5.3.1 Programmierbare Hashfunktione
Seite 79 und 80: Bemerkung 96. In anderen Kontexten
Seite 81 und 82: Die so simulierten Signaturen sind
Seite 83 und 84: Unmöglichkeitsbeweis, dass es kein
Seite 85 und 86: der Fiat-Shamir Heuristik [FS87] au
Seite 87 und 88: 6.2.1 Das SignaturverfahrenSei im F
Seite 89 und 90:
hoher Wahrscheinlichkeit) den gehei
Seite 91 und 92:
4. Zum Schluss prüft Vfy, ob die a
Seite 93 und 94:
Literaturverzeichnis[BB04][BF01]Dan
Seite 95 und 96:
[Deb08][DHT12][DN10][DOP05][DSS09][
Seite 97 und 98:
[KL07]Jonathan Katz and Yehuda Lind
Alle anzeigen

Digitale Signaturen - Tibor Jager

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?