Digitale Signaturen - Tibor Jager

Jeder erfolgreiche Angreifer ruft entweder Ereignis E 0 oder Ereignis E 1 hervor. Es gilt alsoɛ A ≤ Pr[E 0 ] + Pr[E 1 ].Die obige Ungleichung impliziert ausserdem, dass zumindest eine der beiden Ungleichungenerfüllt sein muss.Pr[E 0 ] ≥ ɛ A2oderPr[E 1 ] ≥ ɛ A2(3.1)Angriff auf die Chamäleon-Hashfunktion. Angreifer B versucht die Kollisionsresistenz der Chamäleon-Hashfunktionwie folgt zu brechen. B erhält als Eingabe ch und generiert ein Schlüsselpaar(pk, sk) ← $ Gen ′ (1 k ). Dann startet er A mit Eingabe pk. B kann das EUF-CMA-Experiment simulieren,da er den geheimen Schlüssel sk kennt und so alle Signatur-Anfragen von A beantworten kann.Mit Wahrscheinlichkeit ɛ A wird A eine Fälschung (m ∗ , σ ∗ ) = (m ∗ , (σ ′∗ , r ∗ )) produzieren. Fallsdies eintritt, so prüft B ob Ereignis E 1 eintritt. B prüft also ob es i ∈ {1, . . . , q} gibt, sodass ch(m ∗ , r ∗ ) =ch(m i , r i ). Falls ja, so gibt B (m ∗ , r ∗ , m i , r i ) aus.Offensichtlich kann B die Fälschung von A benutzen um die Kollisionsresistenz der Chamäleon-Hashfunktion zu brechen, wenn E 0 eintritt. B ist also erfolgreich mit einer Wahrscheinlichkeit vonmindestensɛ ch ≥ Pr[E 0 ]. (3.2)Angriff auf Σ ′ . B versucht die EUF-naCMA-Sicherheit von Σ ′ wie folgt zu brechen. Er generiert zunächsteine Chamäleon-Hashfunktion (ch, τ) ← $ Gen ch (1 k ). Dann wählt B q zufällige Werte ( ˜m i , ˜r i ) ←$M × R und berechnet y i = ch( ˜m i , ˜r i ) für alle i ∈ {1, . . . , q}.Die Liste y 1 , . . . , y q gibt B als Nachrichten an seinen EUF-naCMA-Challenger aus. Als Antworterhält er einen öffentlichen Schlüssel pk sowie Signaturen σ 1 ′ , . . . , σ′ q, sodass für jedes i ∈ {1, . . . , q}der Wert σ i ′ eine gültige Signatur für y i bezüglich pk ist. Nun startet B den Angreifer A mit Eingabe pk.Die i-te Signaturanfrage m i von A wird durch B so beantwortet:1. Mit Hilfe der Trapdoor τ der Chamäleon-Hashfunktion berechnet B durcheinen Wert r ′ i sodass y i = ch(m i , r ′ i ) ist.r ′ i = TrapColl ch (τ, ˜m i , ˜r i , m i )2. Dann beantwortet B die Anfrage von A mit Hilfe der vom Challenger erhaltenen Signatur σ ′ i füry i . B gibt also σ i = (σ ′ i , r′ i ) an A zurück. Dies ist eine gültige Signatur für m i.Mit Erfolgswahrscheinlichkeit ɛ A gibt A eine Fälschung (m ∗ , σ ∗ ) = (m ∗ , (σ ′∗ , r ∗ )) aus. Wir schreibeny ∗ := ch(m ∗ , r ∗ ). Falls Ereignis E 1 eintritt, so ist y ∗ ≠ y i für alle i ∈ {1, . . . , q}. Dann kann B dasTupel (y ∗ , σ ′∗ ) als gültige Fälschung an seinen Challenger ausgeben. Wenn E 1 eintritt dann kann Bgegen seinen Challenger gewinnen. Somit giltɛ ′ ≥ Pr[E 1 ]. (3.3)Insgesamt ergibt sich also, durch Einsetzen der Ungleichungen (3.2) und (3.3) in die Ungleichungenaus (3.1), dass zumindestens eine der beiden Ungleichungengelten muss.ɛ ch ≥ Pr[E 0 ] ≥ ɛ A2oder43ɛ ′ ≥ Pr[E 1 ] ≥ ɛ A2