Digitale Signaturen - Tibor Jager

Empfehlungen

Info

Challenger CAngreifer A(pk, sk) $ ← Gen(1 k )$σ 1 ← Sign(sk, m 1 )$σ q ← Sign(sk, m q )Vfy(pk, m ∗ , σ ∗ ) ? = 1−−−−−−−−−→pk←− m 1−−−−−−−−−− σ 1−−−−−−−−−→.m q←− −−−−−−−−−σ q−−−−−−−−−→←− (m∗ , σ ∗ )−−−−−−−−−Abbildung 3.2: Das sEUF-CMA Sicherheitsexperiment ist identisch zum EUF-CMA-Experiment.ein (Einmal-) Signaturverfahren, oder alternativ eine Chamäleon-Hashfunktion, benutzen. Diese Konstruktionensind nicht trivial, daher können wir hier leider nicht auf die Details eingehen –Wichtig istnur zu sagen, dass EUF-CMA-Sicherheit manchmal nicht ausreicht, und man stärkere Sicherheitseigenschaftenbraucht.Ein Verfahren, bei dem man nichtmals dann eine neue Signatur generieren kann, selbst wenn manschon eine andere Signatur für die vom Angreifer gewählte Nachricht m ∗ kennt, nennt man strongexistential unforgeable.Das sEUF-CMA Sicherheitsexperiment. Das sEUF-CMA Sicherheitsexperiment mit Angreifer A,Challenger C und Signaturverfahren (Gen, Sign, Vfy) läuft genauso ab wie das EUF-CMA Sicherheitsexperiment(siehe auch Abbildung 3.2):1. Der Challenger C generiert ein Schlüsselpaar (pk, sk) $ ← Gen(1 k ). Der Angreifer erhält pk.2. Nun darf der Angreifer A beliebige Nachrichten m 1 , . . . , m q vom Challenger signieren lassen.Dazu sendet er Nachricht m i an den Challenger. Dieser berechnet σ i = Sign(sk, m) und antwortetmit σ i .Dieser Schritt kann vom Angreifer beliebig oft wiederholt werden. Wenn wir Angreifer mit polynomiellbeschränkter Laufzeit betrachten werden, ist q = q(k) üblicherweise ein Polynom imSicherheitsparameter.3. Am Ende gibt A eine Nachricht m ∗ mit Signatur σ ∗ aus.Definition 51. Wir sagen, dass (Gen, Sign, Vfy) sicher ist im Sinne von EUF-CMA, falls für alle PPTAngreifer A im EUF-CMA-Experiment gilt, dassPr[A C (pk) = (m ∗ , σ ∗ ) : Vfy(pk, m ∗ , σ ∗ ) = 1 ∧ (m ∗ , σ ∗ ) ∉ {(m 1 , σ 1 ), . . . , (m q , σ q )}] ≤ negl(k)46
für eine vernachlässigbare Funktion negl im Sicherheitsparameter.Der Unterschied zwischen den Definitionen von EUF-CMA-Sicherheit und sEUF-CMA-Sicherheitist subtil. Während wir bei EUF-CMA-Sicherheit lediglich fordern, dassm ∗ ∉ {m 1 , . . . , m q }ist, gibt es bei sEUF-CMA die stärkere Forderung dass(m ∗ , σ ∗ ) ∉ {(m 1 , σ 1 ), . . . , (m q , σ q )}.Die obige Definition von sEUF-CMA-Sicherheit lässt sich auf natürliche Weise adaptieren zu sEUFnaCMA,sEUF-1-CMA und sEUF-1-naCMA.Übungsaufgabe 52. Geben Sie die Definitionen von sEUF-1-naCMA- und sEUF-1-CMA-Sicherheitin Form von Sicherheitsexperimenten an.Übungsaufgabe 53. Zeigen Sie, dass Einmalsignaturverfahren, die durch Anwendung der Transformationaus Kapitel 3.5 aus Chamäleon-Hashfunktionen erstellt wurden, sEUF-1-naCMA-sicher sind.Übungsaufgabe 54. Konstruieren Sie ein sEUF-1-CMA-sicheres Einmalsignaturverfahren aus Chamäleon-Hashfunktionen.Tipp: Wenn Sie zur Lösung von Übungsaufgabe 49 die Transformation aus Kapitel2.4 verwendet haben, dann können Sie zeigen dass das so konstruierte Verfahren bereits sEUF-1-CMA-sicher ist.Strong Existential Unforgeability durch Chamäleon-Hashing. Interessanterweise ist es sehr leichtmöglich, ein EUF-naCMA-sicheres Signaturverfahren Σ ′ in ein sEUF-CMA-sicheres Signaturverfahrenzu transformieren. Dies geht durch geschickte Anwendung eines sEUF-1-CMA-sicheren Einmalsignaturverfahrens.Ein solches Verfahren wurde in Übungsaufgabe 54 basierend auf Chamäleon-Hashfunktionenkonstruiert.Die Transformation. Im Folgenden bezeichne Σ (1) = (Gen (1) , Sign (1) , Vfy (1) ) ein sEUF-1-CMAsicheresEinmalsignaturverfahren und Σ ′ = (Gen ′ , Sign ′ , Vfy ′ ) ein Signaturverfahren. Wir beschreibenein neues Signaturverfahren Σ = (Gen, Sign, Vfy), welches Σ (1) und Σ ′ als Bausteine benutzt. Die Konstruktionerinnert stark an die Transformation von EUF-naCMA-sicheren Signaturverfahren zu EUF-CMA-sicheren <strong>Signaturen</strong> aus Kapitel 2.Gen(1 k ). Zur Schlüsselerzeugung wird ein Schlüsselpaar (pk ′ , sk ′ ) $ ← Gen ′ (1 k ) mit dem Schlüsselerzeugungsalgorithmusvon Σ ′ generiert.Der öffentliche Schlüssel ist pk = pk ′ , der geheime Schlüssel ist sk = sk ′ .Sign(sk, m). Eine Signatur für Nachricht m wird in zwei Schritten berechnet.1. Zunächst wird ein Schlüsselpaar (pk (1) , sk (1) ) $ ← Gen (1) (1 k ) für das Einmalsignaturverfahrengeneriert.2. Der Wert pk (1) wird dann mit dem Signaturverfahren Σ ′ signiert:σ ′ := Sign ′ (sk ′ , pk (1) ).47
Seite 1 und 2: Digitale SignaturenTibor Jagertibor
Seite 3 und 4: Inhaltsverzeichnis1 Einführung 31.
Seite 5 und 6: Kapitel 1EinführungEin Sender möc
Seite 7 und 8: Das stimmt nicht. Es trifft auf nah
Seite 11 und 12: Challenger CAngreifer A(pk, sk) $
Seite 13 und 14: Alle „≤“-Beziehungen einzeln
Seite 15 und 16: Wir müssen also stets die Laufzeit
Seite 17 und 18: Bemerkung 19. Die obige Transformat
Seite 19 und 20: Challenger CAngreifer A(pk, sk) $
Seite 21 und 22: f : {0, 1} ∗ → {0, 1} ∗Challe
Seite 23 und 24: Die Correctness dieses Verfahrens i
Seite 27 und 28: Definition 29. Sei N := P Q das Pro
Seite 29 und 30: Fall 2: m ∗ − m ∈ [1, 2 n −
Seite 31 und 32: Jeder erfolgreiche Angreifer ruft e
Seite 33 und 34: 2.5.1 q-mal SignaturenAus einem Ein
Seite 35 und 36: h 0,1h 1,1h 1,2h 2,1 h 2,2 h 2,3 h
Seite 37 und 38: eine Funktion, die als Eingabe eine
Seite 39 und 40: Kapitel 3Chamäleon-HashfunktionenA
Seite 41 und 42: Man beachte, dass A nicht die Trapd
Seite 43 und 44: Sign(sk, m, ch): Der Signaturalgori
Seite 45 und 46: Jeder erfolgreiche Angreifer ruft e
Seite 47: Sign(sk, m). Um eine Nachricht m
Seite 51 und 52: Kapitel 4RSA-basierte Signaturverfa
Seite 53 und 54: UUF-NMA-Sicherheit. Man kann durch
Seite 55 und 56: Random Oracle mit Liste LAngreifer
Seite 57 und 58: Angreifer, die niemals H(m ∗ ) be
Seite 59 und 60: Eine wichtige Klasse von praktische
Seite 61 und 62: Daher erhält B von A eine Lösung
Seite 63 und 64: sieht. Daher konnten wir den Wert s
Seite 65 und 66: GHR-Signaturen mit spezieller Funkt
Seite 67 und 68: Beweis von Theorem 77. B startet A,
Seite 69 und 70: 4.5 Offene ProblemeDas Hohenberger-
Seite 71 und 72: 2. Nicht-Degeneriertheit. Für Gene
Seite 73 und 74: Vfy(pk, m, σ). Der Verifikationsal
Seite 75 und 76: Das Problem. Sei U 1 , . . . , U n
Seite 77 und 78: 5.3.1 Programmierbare Hashfunktione
Seite 79 und 80: Bemerkung 96. In anderen Kontexten
Seite 81 und 82: Die so simulierten Signaturen sind
Seite 83 und 84: Unmöglichkeitsbeweis, dass es kein
Seite 85 und 86: der Fiat-Shamir Heuristik [FS87] au
Seite 87 und 88: 6.2.1 Das SignaturverfahrenSei im F
Seite 89 und 90: hoher Wahrscheinlichkeit) den gehei
Seite 91 und 92: 4. Zum Schluss prüft Vfy, ob die a
Seite 93 und 94: Literaturverzeichnis[BB04][BF01]Dan
Seite 95 und 96: [Deb08][DHT12][DN10][DOP05][DSS09][
Seite 97 und 98: [KL07]Jonathan Katz and Yehuda Lind

Digitale Signaturen - Tibor Jager

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?