Digitale Signaturen - Tibor Jager

Die so simulierten Signaturen sind also gültig und korrekt verteilt.Der „Trick“ bei der Simulation ist also, dass alle Werte geschickt so aufgesetzt werden, dass sichder g xy -Term herauskürzt. Dieser Trick geht zurück auf Boneh und Boyen [BB04].Extraktion der Lösung des CDH-Problems. Wenn A eine gültige Fälschung (m ∗ , σ ∗ ) ausgibt, σ ∗ =(σ ∗ 1 , σ∗ 2 ), dann benutzt B den Trapdoor-Evaluationsalgorithmus (a∗ , b ∗ ) = TrapEval(τ, m ∗ ) von H zurBerechnung von (a ∗ , b ∗ ) mitH(m ∗ ) = (g x ) a∗ g b∗ = (g x ) 0 g b∗ = g b∗ ,wobei a ∗ ≡ 0 mod p ist, weil nach Annahme Ereignis E eintritt.Damit kann B den gesuchten Wert g xy berechnen als g xy = σ ∗ 2 · (σ∗ 1 )−b∗ . Um zu sehen dass diestatsächlich der gesuchte Wert g xy ist, schreiben wirσ ∗ 1 = g r∗ und σ ∗ 2 = g xy · H(m ∗ ) r∗ .Dies ist möglich, da σ ∗ eine gültige Signatur ist. Dann giltσ ∗ 2 · (σ ∗ 1) −b∗ = g xy · H(m ∗ ) r∗ · g −r∗ b ∗ = g xy · g b∗ r ∗ · g −r∗ b ∗ = g xy .Analyse. Falls also Ereignis E eintritt (was aufgrund der Eigenschaften der PHF H für beliebige vomAngreifer A gewählte Nachrichten m ∗ , m 1 , . . . , m q mit Wahrscheinlichkeit mindestens γ passiert), sosimuliert B das echte EUF-CMA-Experiment perfekt. In diesem Falle kann B das CDH-Problem lösen,wenn A eine gültige Fälschung ausgibt, und es giltɛ B ≥ Pr[E] · ɛ A ≥ γ · ɛ A .5.3.4 Die programmierbare Hashfunktion von WatersWaters [Wat05] hat die folgende konkrete Konstruktion einer Hashfunktion (die „Waters-Hashfunktion“)angegeben.• Der Erzeugungsalgorithmus Gen(g) erhält als Eingabe einen Generator g ∈ G. Er wählt l + 1zufällige Gruppenelemente u 0 , . . . , u l$← G und gibt κ = (u 0 , . . . , u l ) aus.• Der Auswertungsalgorithmus Eval erhält als Eingabe κ und m = (m 1 , . . . , m l ) ∈ {0, 1} l undgibtl∏H κ (m) = u 0 ∈ Gaus.Theorem 100 ([HK08, Theorem 4]). Sei q = q(k) ein Polynom im Sicherheitsparameter. Die Waters-Hashfunktion ist eine (1, q, γ)-programmierbare Hashfunktion mitγ ≥i=118(l + 1)q .u m ii79