Digitale Signaturen - Tibor Jager

Empfehlungen

Info

3. Dann wird mit Hilfe von sk (1) eine Signatur σ (1) = Sign (1) (sk (1) , (m, σ ′ )) über (m, σ ′ )berechnet.Die Signatur σ für Nachricht m ist σ := (σ ′ , pk (1) , σ (1) ).Vfy(pk, m, σ). Der Verifikationsalgorithmus erhält σ := (σ ′ , pk (1) , σ (1) ) und m, und gibt 1 aus wennAnsonsten wird 0 ausgegeben.Vfy ′ (pk, pk (1) , σ ′ ) = 1 und Vfy (1) (pk, (m, σ ′ ), σ (1) ) = 1.Die Idee der Transformation ist also, zusätzlich zur Nachricht auch die Signatur σ ′ mit zu signieren.Theorem 55. Für jeden Angreifer A, der die sEUF-CMA-Sicherheit von Σ bricht in Zeit t A mit Erfolgswahrscheinlichkeitɛ A , existiert ein Angreifer B der in Zeit t B ≈ t A läuft und• entweder die Kollisionsresistenz von ch bricht mit einer Erfolgswahrscheinlichkeit von mindestensɛ ch ≥ ɛ A2 ,• oder die EUF-naCMA-Sicherheit von Σ ′ bricht mit einer Erfolgswahrscheinlichkeit von mindestensɛ ′ ≥ ɛ A2 .Der Beweis dieses Theorems ist sehr ähnlich zu den Beweisen von Theorem 32 und Theorem 45.Daher geben wir ihn hier nicht an, sondern überlassen ihn als (etwas aufwendigere) Übungsaufgabe.Übungsaufgabe 56. Beweisen Sie Theorem 55.Die Konstruktion, die wir in diesem Kapitel vorgestellt haben, stammt im Grunde von Steinfeld,Pieprzyk und Wang [SPW07], wir haben sie jedoch etwas anders beschrieben. Während wir aus derChamäleon-Hashfunktion zunächst ein sEUF-CMA-sicheres Signaturverfahren konstruiert, und danndieses Verfahren für die generische Transformation benutzt haben, wurden in [SPW07] direkt Chamäleon-Hashfunktionen verwendet. Eine etwas schwächere generische Transformation, die nur für manche Signaturverfahren(so genannte „separierbare <strong>Signaturen</strong>“) funktioniert, wurde in [BSW06] vorgestellt.48
Kapitel 4RSA-basierte SignaturverfahrenBislang haben wir in dieser Vorlesung Einmalsignaturverfahren und q-mal Signaturverfahren basierendauf Merkle-Bäumen kennen gelernt, wobei q polynomiell beschränkt war. In diesem Kapitel beginnenwir mit der Betrachtung von Signaturverfahren, die eine exponentielle Anzahl von Nachrichten signierenkönnen. Eine wichtige Klasse solcher Verfahren basiert auf Varianten der RSA-Annahme.Wir betrachten in diesem Kapitel zunächst das „Lehrbuch“-RSA Signaturverfahren, welches einigeNachteile (wie zum Beispiel Homomorphie, die im Kontext von Signaturverfahren nicht unbedingt vorteilhaftsein muss) mit sich bringt. Danach beschreiben und analysieren wir die folgenden RSA-basiertenSignaturverfahren:• Das RSA Full-Domain Hash Verfahren [BR96]. Die Sicherheitsanalyse dieses Verfahrens erfolgtin einem idealisierten Modell, dem so genannten Random Oracle Modell.• Das Signaturverfahren von Gennaro, Halevi und Rabin [GHR99]. Dieses ist das erste „Hashand-Sign“Signaturvefahren mit einem EUF-CMA-Sicherheitsbeweis, es basiert jedoch auf einerstärkeren Komplexitätsannahme, der so genannten Strong-RSA-Annahme.• Das RSA-basierte Signaturverfahren von Hohenberger und Waters [HW09b]. Dieses Verfahrenist das Erste, welches beweisbar EUF-CMA-sicher ist unter der RSA-Annahme. Es ist jedochleider relativ ineffizient. Die Konstruktion eines effizienten RSA-basierten Signaturverfahrens mitBeweis im Standardmodell (also ohne Random Oracles und ähnliche Idealisierungen) ist ein wichtigesoffenes Problem.• Zum Schluss beschreiben wir das Signaturverfahen von Fischlin [Fis03] und seine Sicherheitsanalyse.Dieses Verfahren basiert wieder auf der strong-RSA Annahme, und ist das effizientestebekannte Signaturverfahren das unter einer RSA-artigen Komplexitätsannahme beweisbar EUF-CMA-sicher ist.4.1 „Lehrbuch“-RSA <strong>Signaturen</strong>Sei N ∈ N eine natürliche Zahl. Wir verwenden die in Kapitel 2.3.2 eingeführte Notation und Definitionenvon Z N , Z ∗ Nund φ(N) sowie die Formulierung des RSA-Problems aus Definition 29.Das „Lehrbuch“-Signaturverfahren funktioniert so:49
Seite 1 und 2: Digitale SignaturenTibor Jagertibor
Seite 3 und 4: Inhaltsverzeichnis1 Einführung 31.
Seite 5 und 6: Kapitel 1EinführungEin Sender möc
Seite 7 und 8: Das stimmt nicht. Es trifft auf nah
Seite 11 und 12: Challenger CAngreifer A(pk, sk) $
Seite 13 und 14: Alle „≤“-Beziehungen einzeln
Seite 15 und 16: Wir müssen also stets die Laufzeit
Seite 17 und 18: Bemerkung 19. Die obige Transformat
Seite 19 und 20: Challenger CAngreifer A(pk, sk) $
Seite 21 und 22: f : {0, 1} ∗ → {0, 1} ∗Challe
Seite 23 und 24: Die Correctness dieses Verfahrens i
Seite 27 und 28: Definition 29. Sei N := P Q das Pro
Seite 29 und 30: Fall 2: m ∗ − m ∈ [1, 2 n −
Seite 31 und 32: Jeder erfolgreiche Angreifer ruft e
Seite 33 und 34: 2.5.1 q-mal SignaturenAus einem Ein
Seite 35 und 36: h 0,1h 1,1h 1,2h 2,1 h 2,2 h 2,3 h
Seite 37 und 38: eine Funktion, die als Eingabe eine
Seite 39 und 40: Kapitel 3Chamäleon-HashfunktionenA
Seite 41 und 42: Man beachte, dass A nicht die Trapd
Seite 43 und 44: Sign(sk, m, ch): Der Signaturalgori
Seite 45 und 46: Jeder erfolgreiche Angreifer ruft e
Seite 47 und 48: Sign(sk, m). Um eine Nachricht m
Seite 49: für eine vernachlässigbare Funkti
Seite 53 und 54: UUF-NMA-Sicherheit. Man kann durch
Seite 55 und 56: Random Oracle mit Liste LAngreifer
Seite 57 und 58: Angreifer, die niemals H(m ∗ ) be
Seite 59 und 60: Eine wichtige Klasse von praktische
Seite 61 und 62: Daher erhält B von A eine Lösung
Seite 63 und 64: sieht. Daher konnten wir den Wert s
Seite 65 und 66: GHR-Signaturen mit spezieller Funkt
Seite 67 und 68: Beweis von Theorem 77. B startet A,
Seite 69 und 70: 4.5 Offene ProblemeDas Hohenberger-
Seite 71 und 72: 2. Nicht-Degeneriertheit. Für Gene
Seite 73 und 74: Vfy(pk, m, σ). Der Verifikationsal
Seite 75 und 76: Das Problem. Sei U 1 , . . . , U n
Seite 77 und 78: 5.3.1 Programmierbare Hashfunktione
Seite 79 und 80: Bemerkung 96. In anderen Kontexten
Seite 81 und 82: Die so simulierten Signaturen sind
Seite 83 und 84: Unmöglichkeitsbeweis, dass es kein
Seite 85 und 86: der Fiat-Shamir Heuristik [FS87] au
Seite 87 und 88: 6.2.1 Das SignaturverfahrenSei im F
Seite 89 und 90: hoher Wahrscheinlichkeit) den gehei
Seite 91 und 92: 4. Zum Schluss prüft Vfy, ob die a
Seite 93 und 94: Literaturverzeichnis[BB04][BF01]Dan
Seite 95 und 96: [Deb08][DHT12][DN10][DOP05][DSS09][
Seite 97 und 98: [KL07]Jonathan Katz and Yehuda Lind

Digitale Signaturen - Tibor Jager

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?