Digitale Signaturen - Tibor Jager

Empfehlungen

Info

Gen(1 k ). Der Schlüsselerzeugungsalgorithmus erzeugt einen RSA-Modulus N = P Q, wobei P und Qzwei zufällig gewählte Primzahlen sind. Dann wird eine Zahl e ∈ N mit e ≠ 1 und ggT(e, φ(N)) =1 gewählt, und der Wert d := e −1 mod φ(N) berechnet.Der öffentliche Schlüssel ist pk := (N, e), der geheime Schlüssel ist sk := d.Sign(sk, m). Um eine Nachricht m ∈ Z N zu signieren wird σ ∈ Z N berechnet alsσ ≡ m d mod N.Vfy(pk, m, σ). Der Verifikationsalgorithmus gibt 1 aus, wenngilt, und ansonsten 0.m ≡ σ e mod NCorrectness.dahergilt.Die Correctness des Verfahrens ergibt sich daraus, dass d ≡ e −1 mod φ(N) ist undσ e ≡ (m d ) e ≡ m de mod φ(N) ≡ m 1 mod φ(N) ≡ m mod NSicherheit von „Lehrbuch“-RSA Signaturen. Das „Lehrbuch“-RSA Signaturverfahren ist sehr einfach,und eignet sich daher gut um das Prinzip digitaler Signaturen in Lehrbüchern zu erklären. Es istfür viele praktische Anwendungen jedoch zu schwach.EUF-Sicherheit. Es ist recht leicht zu sehen, dass das „Lehrbuch“-RSA Signaturverfahren nicht EUF-NMA-sicher ist, und somit auch nicht EUF-CMA-sicher.Ein Angreifer kann einfach eine beliebige Signatur σ ∗ ∈ Z N wählen, und sich die passende Nachrichtm ∗ dazu berechnen als m ∗ ≡ (σ ∗ ) e mod N. Offensichtlich ist (m ∗ , σ ∗ ) eine gültige existentielleFälschung. Der Angreifer muss dafür noch nicht einmal eine chosen-message Anfrage anden Challenger stellen.UUF-CMA-Sicherheit. „Lehrbuch“-RSA Signaturen sind auch nicht UUF-CMA-sicher.Ein Angreifer erhält als Eingabe vom Challenger eine Nachricht m ∗ . Sein Ziel ist die Berechnungeiner Signatur σ ∗ mit (σ ∗ ) e ≡ m ∗ mod N. Er geht dazu so vor:1. Der Angreifer wählt einen zufälligen Wert x $ ← Z ∗ N \ {1} und berechnet y ≡ xe mod N.2. Dann berechnet der Angreifer m 1 := m ∗ · y mod N, und fragt den Challenger nach einerSignatur für m 1 . Weil x ≠ 1 mod N gewählt wurde, ist auch y ≠ 1 mod N. Daher istm 1 ≠ m ∗ . Als Antwort erhält der Angreifer daher einen Wert σ 1 mit σ e 1 ≡ m 1 mod N.3. Zum Schluss berechnet der Angreifer σ ∗ ≡ σ 1 · x −1 mod N, und gibt σ ∗ aus. Dies istmöglich, weil x ∈ Z ∗ N invertierbar ist. Ausserdem ist dies eine gültige Signatur für m∗ ,denn(σ ∗ ) e ≡ (σ 1 · x −1 ) e ≡ σ e 1 · (x e ) −1 ≡ m 1 · y −1 ≡ m ∗ · y · y −1 ≡ m ∗ mod N.Die Tatsache, dass „Lehrbuch“-RSA Signaturenmultiplikativ homomorph sind, erlaubt alsodiesen UUF-CMA-Angriff.50
UUF-NMA-Sicherheit. Man kann durch eine einfache Reduktion zeigen, dass „Lehrbuch“-RSA SignaturenUUF-NMA-sicher sind unter der Annahme dass das RSA-Problem „schwer“ ist. Dies istjedoch ein sehr schwaches Sicherheitsziel, und für praktische Anwendungen in der Regel nichtausreichend.Übungsaufgabe 57. Zeigen Sie, dass das „Lehrbuch“-RSA Signaturverfahren UUF-NMA-sicher ist,unter der Annahme dass das RSA-Problem „schwer“ ist.4.2 RSA Full-Domain Hash und das Random Oracle ModellIn diesem Kapitel beschreiben wir das RSA-basierte Full-Domain Hash Signaturverfahren (RSA-FDH),ein sehr wichtigstiges Verfahren. Es ist eine Erweiterung des „Lehrbuch“-RSA Verfahrens, bei der aufdie zu signierende Nachricht zunächst eine Hashfunktion angewendet wird, und dann der Hash derNachricht signiert wird. Wenn man eine geeignete (jedoch sehr starke) Anforderung an die Sicherheitder Hashfunktion stellt, dann kann man zeigen dass dies die Schwachpunkte des „Lehrbuch“-RSA Verfahrensbeseitigt.Gen(1 k ). Der Schlüsselerzeugungsalgorithmus erzeugt einen RSA-Modulus N = P Q, wobei P undQ zwei zufällig gewählte Primzahlen sind. Weiterhin wird eine Zahl e ∈ N mit e ≠ 1 undggT(e, φ(N)) = 1 gewählt, und der Wert d := e −1 mod φ(N) berechnet. Zum Schluss wird eineHashfunktionH : {0, 1} ∗ → Z Nausgewählt. Der öffentliche Schlüssel ist pk := (N, e, H), der geheime Schlüssel ist sk := d.Sign(sk, m). Um eine Nachricht m ∈ {0, 1} ∗ zu signieren wird σ ∈ Z N berechnet alsσ := H(m) d mod N.Vfy(pk, m, σ). Der Verifikationsalgorithmus gibt 1 aus, wenngilt, und ansonsten 0.H(m) ≡ σ e mod NCorrectness.Die Correctness des Verfahrens ergibt sich wieder durch Einsetzen:da d · e ≡ 1 mod φ(N) ist.σ e ≡ (H(m) d ) e ≡ H(m) de mod φ(N) ≡ H(m) mod N,Soundness. Um die EUF-CMA-Sicherheit des RSA-FDH Verfahrens beweisen zu können, müssenwir neben der RSA-Annahme noch eine geeignete Annahme über die Sicherheit der Hashfunktion Htreffen. Offensichtlich müssen wir zumindest mal annehmen, dass H kollisionsresistent ist, ansonstenkönnte ein Angreifer zunächst eine Kollision m, m ∗ mit H(m) = H(m ∗ ) für H finden und diese dannbenutzen um das EUF-CMA-Experiment zu gewinnen.Weiterhin darf H natürlich nicht die Identitätsabbildung sein (welche ja offensichtlich kollisionsresistentist), denn ansonsten wäre das resultierende Full-Domain-Hash Verfahren ja identisch zum51
Seite 1 und 2: Digitale SignaturenTibor Jagertibor
Seite 3 und 4: Inhaltsverzeichnis1 Einführung 31.
Seite 5 und 6: Kapitel 1EinführungEin Sender möc
Seite 7 und 8: Das stimmt nicht. Es trifft auf nah
Seite 11 und 12: Challenger CAngreifer A(pk, sk) $
Seite 13 und 14: Alle „≤“-Beziehungen einzeln
Seite 15 und 16: Wir müssen also stets die Laufzeit
Seite 17 und 18: Bemerkung 19. Die obige Transformat
Seite 19 und 20: Challenger CAngreifer A(pk, sk) $
Seite 21 und 22: f : {0, 1} ∗ → {0, 1} ∗Challe
Seite 23 und 24: Die Correctness dieses Verfahrens i
Seite 27 und 28: Definition 29. Sei N := P Q das Pro
Seite 29 und 30: Fall 2: m ∗ − m ∈ [1, 2 n −
Seite 31 und 32: Jeder erfolgreiche Angreifer ruft e
Seite 33 und 34: 2.5.1 q-mal SignaturenAus einem Ein
Seite 35 und 36: h 0,1h 1,1h 1,2h 2,1 h 2,2 h 2,3 h
Seite 37 und 38: eine Funktion, die als Eingabe eine
Seite 39 und 40: Kapitel 3Chamäleon-HashfunktionenA
Seite 41 und 42: Man beachte, dass A nicht die Trapd
Seite 43 und 44: Sign(sk, m, ch): Der Signaturalgori
Seite 45 und 46: Jeder erfolgreiche Angreifer ruft e
Seite 47 und 48: Sign(sk, m). Um eine Nachricht m
Seite 49 und 50: für eine vernachlässigbare Funkti
Seite 51: Kapitel 4RSA-basierte Signaturverfa
Seite 55 und 56: Random Oracle mit Liste LAngreifer
Seite 57 und 58: Angreifer, die niemals H(m ∗ ) be
Seite 59 und 60: Eine wichtige Klasse von praktische
Seite 61 und 62: Daher erhält B von A eine Lösung
Seite 63 und 64: sieht. Daher konnten wir den Wert s
Seite 65 und 66: GHR-Signaturen mit spezieller Funkt
Seite 67 und 68: Beweis von Theorem 77. B startet A,
Seite 69 und 70: 4.5 Offene ProblemeDas Hohenberger-
Seite 71 und 72: 2. Nicht-Degeneriertheit. Für Gene
Seite 73 und 74: Vfy(pk, m, σ). Der Verifikationsal
Seite 75 und 76: Das Problem. Sei U 1 , . . . , U n
Seite 77 und 78: 5.3.1 Programmierbare Hashfunktione
Seite 79 und 80: Bemerkung 96. In anderen Kontexten
Seite 81 und 82: Die so simulierten Signaturen sind
Seite 83 und 84: Unmöglichkeitsbeweis, dass es kein
Seite 85 und 86: der Fiat-Shamir Heuristik [FS87] au
Seite 87 und 88: 6.2.1 Das SignaturverfahrenSei im F
Seite 89 und 90: hoher Wahrscheinlichkeit) den gehei
Seite 91 und 92: 4. Zum Schluss prüft Vfy, ob die a
Seite 93 und 94: Literaturverzeichnis[BB04][BF01]Dan
Seite 95 und 96: [Deb08][DHT12][DN10][DOP05][DSS09][
Seite 97 und 98: [KL07]Jonathan Katz and Yehuda Lind

Digitale Signaturen - Tibor Jager

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?