Digitale Signaturen - Tibor Jager

Empfehlungen

Info

4 RSA-basierte Signaturverfahren 494.1 „Lehrbuch“-RSA Signaturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494.2 RSA Full-Domain Hash und das Random Oracle Modell . . . . . . . . . . . . . . . . . 514.2.1 Das Random Oracle Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524.2.2 Sicherheitsbeweis von RSA-FDH im Random Oracle Modell . . . . . . . . . . . 544.3 Gennaro-Halevi-Rabin Signaturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564.3.1 Die Strong-RSA-Annahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574.3.2 GHR Signaturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574.3.3 Hashfunktionen die auf Primzahlen abbilden . . . . . . . . . . . . . . . . . . . 594.4 Hohenberger-Waters Signaturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604.4.1 Selektive Sicherheit von GHR-Signaturen . . . . . . . . . . . . . . . . . . . . . 604.4.2 Von SUF-naCMA-Sicherheit zu EUF-naCMA-Sicherheit . . . . . . . . . . . . 634.4.3 Clevere „Kompression“ von GHR-Signaturen . . . . . . . . . . . . . . . . . . . 664.5 Offene Probleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675 Pairing-basierte Signaturverfahren 685.1 Pairings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 685.2 Boneh-Lynn-Shacham Signaturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705.2.1 Das Computational Diffie-Hellman Problem . . . . . . . . . . . . . . . . . . . . 715.2.2 Sicherheit von BLS-Signaturen . . . . . . . . . . . . . . . . . . . . . . . . . . 715.2.3 Aggregierbarkeit von BLS-Signaturen . . . . . . . . . . . . . . . . . . . . . . . 725.2.4 Batch-Verifikation von BLS-Signaturen . . . . . . . . . . . . . . . . . . . . . . 745.3 Waters-Signaturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 745.3.1 Programmierbare Hashfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . 755.3.2 Das Signaturverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 775.3.3 Sicherheit von Waters-Signaturen . . . . . . . . . . . . . . . . . . . . . . . . . 775.3.4 Die programmierbare Hashfunktion von Waters . . . . . . . . . . . . . . . . . . 795.4 Offene Probleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 806 Ausgewählte praktische Signaturverfahren und Angriffe 826.1 Schnorr-Signaturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826.1.1 Das Signaturverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 836.1.2 Warum gute Zufallszahlen wichtig sind . . . . . . . . . . . . . . . . . . . . . . 836.2 Der Digital Signature Algorithm (DSA) . . . . . . . . . . . . . . . . . . . . . . . . . . 846.2.1 Das Signaturverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 856.2.2 Der Angriff von Klíma und Rosa . . . . . . . . . . . . . . . . . . . . . . . . . . 856.3 RSA-PKCS#1 v1.5 Signaturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 876.3.1 Das Signaturverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 876.3.2 Bleichenbacher’s Angriff auf RSA-Signaturen mit kleinem Exponenten . . . . . 882
Kapitel 1EinführungEin Sender möchte eine Nachricht an einen Empfänger übertragen, und zwar so, dass der Empfänger beiErhalt der Nachricht zwei Dinge verifizieren kann:1. Integrität der Nachricht: Der Empfänger kann sicher sein, dass die Nachricht auf dem Transportwegnicht verändert wurde. Weder böswillig (also durch einen Angreifer, der die Nachricht gezieltverändert), noch durch Zufall (zum Beispiel durch einen Übertragungsfehler).2. Authentizität der Nachricht: Der Empfänger kann feststellen, ob die Nachricht tatsächlich voneinem bestimmten Absender stammt.Falls die Nachricht auf Papier gedruckt ist, gibt es eine klassische Lösung für dieses Problem. JederSender hat eine eindeutige Unterschrift, welche1. nur vom Sender erzeugt werden kann, und2. dem Empfänger bekannt ist.Bei Erhalt der Nachricht überprüft der Empfänger, ob das erhaltene Papier eine unveränderte Nachrichtund die Unterschrift des Senders trägt. Falls beides zutrifft, wird die signierte Nachricht als authentischund integer akzeptiert.Häufig wollen wir jedoch nicht nur Nachrichten in Papierform übertragen, sondern auch digitaleNachrichten. Digitale Nachrichten sind Bitstrings, also Elemente aus der Menge {0, 1} ∗ . Die klassischeLösung für Nachrichten auf Papier ist hier leider nicht anwendbar. Daher verwenden wir digitaleSignaturverfahren (oder kurz: digitale Signaturen).Wofür benötigen wir Unterschriften unter digitalen Nachrichten? Es gibt zahlreiche Beispiel fürAnwendungen von digitalen Signaturen, und einige davon benutzen wir nahezu täglich.Digitale Zertifikate im Internet. Digitale Zertifikate sind digital signierte kryptographische Schlüssel.Solche Zertifikate stellen einen wichtigen Grundbaustein von Sicherheitsinfrastrukturen im Internet,wie zum Beispiel so genannten Public-Key Infrastrukturen (PKI), dar. Wir kommen mitsolchen Zertifikaten nahezu täglich in Kontakt, zum Beispiel wenn wir mit dem Webbrowser einegesicherte Internetseite aufrufen, deren Adresse mit https:// beginnt. Denn dann kommuniziertder Webbrowser mit dem Server über das TLS Protokoll [DA99], welches den Kommunikationspartnerüber ein Zertifikat authentifiziert.3
Seite 1 und 2: Digitale SignaturenTibor Jagertibor
Seite 3: Inhaltsverzeichnis1 Einführung 31.
Seite 7 und 8: Das stimmt nicht. Es trifft auf nah
Seite 11 und 12: Challenger CAngreifer A(pk, sk) $
Seite 13 und 14: Alle „≤“-Beziehungen einzeln
Seite 15 und 16: Wir müssen also stets die Laufzeit
Seite 17 und 18: Bemerkung 19. Die obige Transformat
Seite 19 und 20: Challenger CAngreifer A(pk, sk) $
Seite 21 und 22: f : {0, 1} ∗ → {0, 1} ∗Challe
Seite 23 und 24: Die Correctness dieses Verfahrens i
Seite 27 und 28: Definition 29. Sei N := P Q das Pro
Seite 29 und 30: Fall 2: m ∗ − m ∈ [1, 2 n −
Seite 31 und 32: Jeder erfolgreiche Angreifer ruft e
Seite 33 und 34: 2.5.1 q-mal SignaturenAus einem Ein
Seite 35 und 36: h 0,1h 1,1h 1,2h 2,1 h 2,2 h 2,3 h
Seite 37 und 38: eine Funktion, die als Eingabe eine
Seite 39 und 40: Kapitel 3Chamäleon-HashfunktionenA
Seite 41 und 42: Man beachte, dass A nicht die Trapd
Seite 43 und 44: Sign(sk, m, ch): Der Signaturalgori
Seite 45 und 46: Jeder erfolgreiche Angreifer ruft e
Seite 47 und 48: Sign(sk, m). Um eine Nachricht m
Seite 49 und 50: für eine vernachlässigbare Funkti
Seite 51 und 52: Kapitel 4RSA-basierte Signaturverfa
Seite 53 und 54: UUF-NMA-Sicherheit. Man kann durch
Seite 55 und 56:
Random Oracle mit Liste LAngreifer
Seite 57 und 58:
Angreifer, die niemals H(m ∗ ) be
Seite 59 und 60:
Eine wichtige Klasse von praktische
Seite 61 und 62:
Daher erhält B von A eine Lösung
Seite 63 und 64:
sieht. Daher konnten wir den Wert s
Seite 65 und 66:
GHR-Signaturen mit spezieller Funkt
Seite 67 und 68:
Beweis von Theorem 77. B startet A,
Seite 69 und 70:
4.5 Offene ProblemeDas Hohenberger-
Seite 71 und 72:
2. Nicht-Degeneriertheit. Für Gene
Seite 73 und 74:
Vfy(pk, m, σ). Der Verifikationsal
Seite 75 und 76:
Das Problem. Sei U 1 , . . . , U n
Seite 77 und 78:
5.3.1 Programmierbare Hashfunktione
Seite 79 und 80:
Bemerkung 96. In anderen Kontexten
Seite 81 und 82:
Die so simulierten Signaturen sind
Seite 83 und 84:
Unmöglichkeitsbeweis, dass es kein
Seite 85 und 86:
der Fiat-Shamir Heuristik [FS87] au
Seite 87 und 88:
6.2.1 Das SignaturverfahrenSei im F
Seite 89 und 90:
hoher Wahrscheinlichkeit) den gehei
Seite 91 und 92:
4. Zum Schluss prüft Vfy, ob die a
Seite 93 und 94:
Literaturverzeichnis[BB04][BF01]Dan
Seite 95 und 96:
[Deb08][DHT12][DN10][DOP05][DSS09][
Seite 97 und 98:
[KL07]Jonathan Katz and Yehuda Lind
Alle anzeigen

Digitale Signaturen - Tibor Jager

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?