Challenger CAngreifer A(pk, sk) $ ← Gen(1 k )(ch, τ) $ ← Gen ch (1 k )$σ 1 ← Sign(sk, m 1 , ch)$σ q ← Sign(sk, m q , ch)Vfy(pk, m ∗ , σ ∗ , ch) ? = 1(pk, ch)− −−−−−−−−−→←− m 1−−−−−−−−−− σ 1−−−−−−−−−→.m q←− −−−−−−−−−σ q−−−−−−−−−→←− (m∗ , σ ∗ )−−−−−−−−−Abbildung 3.1: Das EUF-CMA Sicherheitsexperiment für Chamäleon-<strong>Signaturen</strong>.• entweder die Kollisionsresistenz von ch bricht mit einer Erfolgswahrscheinlichkeit von mindestensɛ ch ≥ ɛ A2 ,• oder die EUF-naCMA-Sicherheit von Σ ′ bricht mit einer Erfolgswahrscheinlichkeit von mindestensɛ ′ ≥ ɛ A2 .Bemerkung 46. Man beachte, dass das Theorem sogar die EUF-CMA-Sicherheit von Σ behauptet, selbstwenn Σ ′ nur EUF-naCMA-sicher ist.Beweis. Jeder EUF-CMA-Angreifer A stellt eine Reihe von adaptiven Signatur-Anfragen m 1 , . . . , m q ,q ≥ 0, auf welche er als Antwort <strong>Signaturen</strong> σ 1 , . . . , σ q erhält, wobei jede Signatur σ i aus zwei Komponenten(σ ′ i , r i) besteht. Wir betrachten zwei verschiedene Ereignisse:• Wir sagen, dass Ereignis E 0 eintritt, falls der Angreifer (m ∗ , σ ∗ ) = (m ∗ , (σ ′∗ , r ∗ )) ausgibt, sodassfür mindestens ein i ∈ {1, . . . , q}.ch(m ∗ , r ∗ ) = ch(m i , r i )• Wir sagen, dass Ereignis E 1 eintritt, falls der Angreifer (m ∗ , σ ∗ ) = (m ∗ , (σ ′∗ , r ∗ )) ausgibt, sodassfür alle i ∈ {1, . . . , q}.ch(m ∗ , r ∗ ) ≠ ch(m i , r i )42
Jeder erfolgreiche Angreifer ruft entweder Ereignis E 0 oder Ereignis E 1 hervor. Es gilt alsoɛ A ≤ Pr[E 0 ] + Pr[E 1 ].Die obige Ungleichung impliziert ausserdem, dass zumindest eine der beiden Ungleichungenerfüllt sein muss.Pr[E 0 ] ≥ ɛ A2oderPr[E 1 ] ≥ ɛ A2(3.1)Angriff auf die Chamäleon-Hashfunktion. Angreifer B versucht die Kollisionsresistenz der Chamäleon-Hashfunktionwie folgt zu brechen. B erhält als Eingabe ch und generiert ein Schlüsselpaar(pk, sk) ← $ Gen ′ (1 k ). Dann startet er A mit Eingabe pk. B kann das EUF-CMA-Experiment simulieren,da er den geheimen Schlüssel sk kennt und so alle Signatur-Anfragen von A beantworten kann.Mit Wahrscheinlichkeit ɛ A wird A eine Fälschung (m ∗ , σ ∗ ) = (m ∗ , (σ ′∗ , r ∗ )) produzieren. Fallsdies eintritt, so prüft B ob Ereignis E 1 eintritt. B prüft also ob es i ∈ {1, . . . , q} gibt, sodass ch(m ∗ , r ∗ ) =ch(m i , r i ). Falls ja, so gibt B (m ∗ , r ∗ , m i , r i ) aus.Offensichtlich kann B die Fälschung von A benutzen um die Kollisionsresistenz der Chamäleon-Hashfunktion zu brechen, wenn E 0 eintritt. B ist also erfolgreich mit einer Wahrscheinlichkeit vonmindestensɛ ch ≥ Pr[E 0 ]. (3.2)Angriff auf Σ ′ . B versucht die EUF-naCMA-Sicherheit von Σ ′ wie folgt zu brechen. Er generiert zunächsteine Chamäleon-Hashfunktion (ch, τ) ← $ Gen ch (1 k ). Dann wählt B q zufällige Werte ( ˜m i , ˜r i ) ←$M × R und berechnet y i = ch( ˜m i , ˜r i ) für alle i ∈ {1, . . . , q}.Die Liste y 1 , . . . , y q gibt B als Nachrichten an seinen EUF-naCMA-Challenger aus. Als Antworterhält er einen öffentlichen Schlüssel pk sowie <strong>Signaturen</strong> σ 1 ′ , . . . , σ′ q, sodass für jedes i ∈ {1, . . . , q}der Wert σ i ′ eine gültige Signatur für y i bezüglich pk ist. Nun startet B den Angreifer A mit Eingabe pk.Die i-te Signaturanfrage m i von A wird durch B so beantwortet:1. Mit Hilfe der Trapdoor τ der Chamäleon-Hashfunktion berechnet B durcheinen Wert r ′ i sodass y i = ch(m i , r ′ i ) ist.r ′ i = TrapColl ch (τ, ˜m i , ˜r i , m i )2. Dann beantwortet B die Anfrage von A mit Hilfe der vom Challenger erhaltenen Signatur σ ′ i füry i . B gibt also σ i = (σ ′ i , r′ i ) an A zurück. Dies ist eine gültige Signatur für m i.Mit Erfolgswahrscheinlichkeit ɛ A gibt A eine Fälschung (m ∗ , σ ∗ ) = (m ∗ , (σ ′∗ , r ∗ )) aus. Wir schreibeny ∗ := ch(m ∗ , r ∗ ). Falls Ereignis E 1 eintritt, so ist y ∗ ≠ y i für alle i ∈ {1, . . . , q}. Dann kann B dasTupel (y ∗ , σ ′∗ ) als gültige Fälschung an seinen Challenger ausgeben. Wenn E 1 eintritt dann kann Bgegen seinen Challenger gewinnen. Somit giltɛ ′ ≥ Pr[E 1 ]. (3.3)Insgesamt ergibt sich also, durch Einsetzen der Ungleichungen (3.2) und (3.3) in die Ungleichungenaus (3.1), dass zumindestens eine der beiden Ungleichungengelten muss.ɛ ch ≥ Pr[E 0 ] ≥ ɛ A2oder43ɛ ′ ≥ Pr[E 1 ] ≥ ɛ A2
- Seite 1 und 2: Digitale SignaturenTibor Jagertibor
- Seite 3 und 4: Inhaltsverzeichnis1 Einführung 31.
- Seite 5 und 6: Kapitel 1EinführungEin Sender möc
- Seite 7 und 8: Das stimmt nicht. Es trifft auf nah
- Seite 11 und 12: Challenger CAngreifer A(pk, sk) $
- Seite 13 und 14: Alle „≤“-Beziehungen einzeln
- Seite 15 und 16: Wir müssen also stets die Laufzeit
- Seite 17 und 18: Bemerkung 19. Die obige Transformat
- Seite 19 und 20: Challenger CAngreifer A(pk, sk) $
- Seite 21 und 22: f : {0, 1} ∗ → {0, 1} ∗Challe
- Seite 23 und 24: Die Correctness dieses Verfahrens i
- Seite 27 und 28: Definition 29. Sei N := P Q das Pro
- Seite 29 und 30: Fall 2: m ∗ − m ∈ [1, 2 n −
- Seite 31 und 32: Jeder erfolgreiche Angreifer ruft e
- Seite 33 und 34: 2.5.1 q-mal SignaturenAus einem Ein
- Seite 35 und 36: h 0,1h 1,1h 1,2h 2,1 h 2,2 h 2,3 h
- Seite 37 und 38: eine Funktion, die als Eingabe eine
- Seite 39 und 40: Kapitel 3Chamäleon-HashfunktionenA
- Seite 41 und 42: Man beachte, dass A nicht die Trapd
- Seite 43: Sign(sk, m, ch): Der Signaturalgori
- Seite 47 und 48: Sign(sk, m). Um eine Nachricht m
- Seite 49 und 50: für eine vernachlässigbare Funkti
- Seite 51 und 52: Kapitel 4RSA-basierte Signaturverfa
- Seite 53 und 54: UUF-NMA-Sicherheit. Man kann durch
- Seite 55 und 56: Random Oracle mit Liste LAngreifer
- Seite 57 und 58: Angreifer, die niemals H(m ∗ ) be
- Seite 59 und 60: Eine wichtige Klasse von praktische
- Seite 61 und 62: Daher erhält B von A eine Lösung
- Seite 63 und 64: sieht. Daher konnten wir den Wert s
- Seite 65 und 66: GHR-Signaturen mit spezieller Funkt
- Seite 67 und 68: Beweis von Theorem 77. B startet A,
- Seite 69 und 70: 4.5 Offene ProblemeDas Hohenberger-
- Seite 71 und 72: 2. Nicht-Degeneriertheit. Für Gene
- Seite 73 und 74: Vfy(pk, m, σ). Der Verifikationsal
- Seite 75 und 76: Das Problem. Sei U 1 , . . . , U n
- Seite 77 und 78: 5.3.1 Programmierbare Hashfunktione
- Seite 79 und 80: Bemerkung 96. In anderen Kontexten
- Seite 81 und 82: Die so simulierten Signaturen sind
- Seite 83 und 84: Unmöglichkeitsbeweis, dass es kein
- Seite 85 und 86: der Fiat-Shamir Heuristik [FS87] au
- Seite 87 und 88: 6.2.1 Das SignaturverfahrenSei im F
- Seite 89 und 90: hoher Wahrscheinlichkeit) den gehei
- Seite 91 und 92: 4. Zum Schluss prüft Vfy, ob die a
- Seite 93 und 94: Literaturverzeichnis[BB04][BF01]Dan
- Seite 95 und 96:
[Deb08][DHT12][DN10][DOP05][DSS09][
- Seite 97 und 98:
[KL07]Jonathan Katz and Yehuda Lind