[BR93][BR94][BR96][BR08][Bro02]Mihir Bellare and Phillip Rogaway. Random oracles are practical: A paradigm for designingefficient protocols. In V. Ashby, editor, ACM CCS 93: 1st Conference on Computer andCommunications Security, pages 62–73. ACM Press, November 1993.Mihir Bellare and Phillip Rogaway. Optimal asymmetric encryption. In Alfredo De Santis,editor, Advances in Cryptology – EUROCRYPT’94, volume 950 of Lecture Notes in ComputerScience, pages 92–111. Springer, May 1994.Mihir Bellare and Phillip Rogaway. The exact security of digital signatures: How to signwith RSA and Rabin. In Ueli M. Maurer, editor, Advances in Cryptology – EUROCRYPT’96,volume 1070 of Lecture Notes in Computer Science, pages 399–416. Springer, May 1996.Mihir Bellare and Todor Ristov. Hash functions from sigma protocols and improvements toVSH. In Josef Pieprzyk, editor, Advances in Cryptology – ASIACRYPT 2008, volume 5350of Lecture Notes in Computer Science, pages 125–142. Springer, December 2008.Daniel R. L. Brown. Generic groups, collision resistance, and ecdsa. Cryptology ePrintArchive, Report 2002/026, 2002. http://eprint.iacr.org/.[BSI08] Kryptographische Verfahren: Empfehlungen und Schlüssellängen. Bundesamt für Sicherheitin der Informationstechnik (BSI), BSI TR-02102, 2008. https://www.bsi.bund.de/ContentBSI/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html.[BSW06][CF05][CGH98]Dan Boneh, Emily Shen, and Brent Waters. Strongly unforgeable signatures based on computationalDiffie-Hellman. In Moti Yung, Yevgeniy Dodis, Aggelos Kiayias, and Tal Malkin,editors, PKC 2006: 9th International Conference on Theory and Practice of Public KeyCryptography, volume 3958 of Lecture Notes in Computer Science, pages 229–240. Springer,April 2006.Henri Cohen and Gerhard Frey, editors. Handbook of elliptic and hyperelliptic curve cryptography.CRC Press, 2005.Ran Canetti, Oded Goldreich, and Shai Halevi. The random oracle methodology, revisited(preliminary version). In 30th Annual ACM Symposium on Theory of Computing, pages209–218. ACM Press, May 1998.[CHK04] Ran Canetti, Shai Halevi, and Jonathan Katz. Chosen-ciphertext security from identitybasedencryption. In Christian Cachin and Jan Camenisch, editors, Advances in Cryptology– EUROCRYPT 2004, volume 3027 of Lecture Notes in Computer Science, pages 207–222.Springer, May 2004.[Cra96][CS99][DA99]Ronald Cramer. Modular Design of Secure yet Practical Cryptographic Protocols. PhDthesis, CWI and Uni.of Amsterdam, November 1996.Ronald Cramer and Victor Shoup. Signature schemes based on the strong RSA assumption.In ACM CCS 99: 6th Conference on Computer and Communications Security, pages 46–51.ACM Press, November 1999.Tim Dierks and Christopher Allen. RFC 2246 - The TLS Protocol Version 1.0. InternetActivities Board, January 1999.92
[Deb08][DHT12][DN10][DOP05][DSS09][EGM96][Fin06][Fis03][FS87]Debian Sicherheitsankündigung. DSA-1571-1 openssl – Voraussagbarer Zufallszahlengenerator,2008. http://www.debian.org/security/2008/dsa-1571.Yevgeniy Dodis, Iftach Haitner, and Aris Tentes. On the instantiability of hash-and-signRSA signatures. In Ronald Cramer, editor, TCC 2012: 9th Theory of Cryptography Conference,volume 7194 of Lecture Notes in Computer Science, pages 112–132. Springer, March2012.Ivan Damgård and Jesper Buus Nielsen. Cryptologic Protocol Theory. Course Website,2010. http://www.daimi.au.dk/~ivan/CPT.html.Yevgeniy Dodis, Roberto Oliveira, and Krzysztof Pietrzak. On the generic insecurity of thefull domain hash. In Victor Shoup, editor, Advances in Cryptology – CRYPTO 2005, volume3621 of Lecture Notes in Computer Science, pages 449–466. Springer, August 2005.Digital signature standard (DSS). National Institute of Standards and Technology (NIST),FIPS PUB 186-3, U.S. Department of Commerce, 2009. http://csrc.nist.gov/publications/fips/fips186-3/fips_186-3.pdf.Shimon Even, Oded Goldreich, and Silvio Micali. On-line/off-line digital signatures. Journalof Cryptology, 9(1):35–67, 1996.Hal Finney. Bleichenbacher’s RSA signature forgery based on implementation error. Postingat IETF-OpenPGP Mailing List, 2006. http://www.imc.org/ietf-openpgp/mail-archive/msg06063.html.Marc Fischlin. The Cramer-Shoup strong-RSA signature scheme revisited. In Yvo Desmedt,editor, PKC 2003: 6th International Workshop on Theory and Practice in Public Key Cryptography,volume 2567 of Lecture Notes in Computer Science, pages 116–129. Springer,January 2003.Amos Fiat and Adi Shamir. How to prove yourself: Practical solutions to identification andsignature problems. In Andrew M. Odlyzko, editor, Advances in Cryptology – CRYPTO’86,volume 263 of Lecture Notes in Computer Science, pages 186–194. Springer, August 1987.[GHR99] Rosario Gennaro, Shai Halevi, and Tal Rabin. Secure hash-and-sign signatures withoutthe random oracle. In Jacques Stern, editor, Advances in Cryptology – EUROCRYPT’99,volume 1592 of Lecture Notes in Computer Science, pages 123–139. Springer, May 1999.[GMR85] Shafi Goldwasser, Silvio Micali, and Ronald L. Rivest. A “paradoxical” solution to thesignature problem (abstract) (impromptu talk). In G. R. Blakley and David Chaum, editors,Advances in Cryptology – CRYPTO’84, volume 196 of Lecture Notes in Computer Science,page 467. Springer, August 1985.[GMR88][Gol87]Shafi Goldwasser, Silvio Micali, and Ronald L. Rivest. A digital signature scheme secureagainst adaptive chosen-message attacks. SIAM Journal on Computing, 17(2):281–308,April 1988.Oded Goldreich. Two remarks concerning the Goldwasser-Micali-Rivest signature scheme.In Andrew M. Odlyzko, editor, Advances in Cryptology – CRYPTO’86, volume 263 ofLecture Notes in Computer Science, pages 104–110. Springer, August 1987.93
- Seite 1 und 2:
Digitale SignaturenTibor Jagertibor
- Seite 3 und 4:
Inhaltsverzeichnis1 Einführung 31.
- Seite 5 und 6:
Kapitel 1EinführungEin Sender möc
- Seite 7 und 8:
Das stimmt nicht. Es trifft auf nah
- Seite 11 und 12:
Challenger CAngreifer A(pk, sk) $
- Seite 13 und 14:
Alle „≤“-Beziehungen einzeln
- Seite 15 und 16:
Wir müssen also stets die Laufzeit
- Seite 17 und 18:
Bemerkung 19. Die obige Transformat
- Seite 19 und 20:
Challenger CAngreifer A(pk, sk) $
- Seite 21 und 22:
f : {0, 1} ∗ → {0, 1} ∗Challe
- Seite 23 und 24:
Die Correctness dieses Verfahrens i
- Seite 27 und 28:
Definition 29. Sei N := P Q das Pro
- Seite 29 und 30:
Fall 2: m ∗ − m ∈ [1, 2 n −
- Seite 31 und 32:
Jeder erfolgreiche Angreifer ruft e
- Seite 33 und 34:
2.5.1 q-mal SignaturenAus einem Ein
- Seite 35 und 36:
h 0,1h 1,1h 1,2h 2,1 h 2,2 h 2,3 h
- Seite 37 und 38:
eine Funktion, die als Eingabe eine
- Seite 39 und 40:
Kapitel 3Chamäleon-HashfunktionenA
- Seite 41 und 42:
Man beachte, dass A nicht die Trapd
- Seite 43 und 44: Sign(sk, m, ch): Der Signaturalgori
- Seite 45 und 46: Jeder erfolgreiche Angreifer ruft e
- Seite 47 und 48: Sign(sk, m). Um eine Nachricht m
- Seite 49 und 50: für eine vernachlässigbare Funkti
- Seite 51 und 52: Kapitel 4RSA-basierte Signaturverfa
- Seite 53 und 54: UUF-NMA-Sicherheit. Man kann durch
- Seite 55 und 56: Random Oracle mit Liste LAngreifer
- Seite 57 und 58: Angreifer, die niemals H(m ∗ ) be
- Seite 59 und 60: Eine wichtige Klasse von praktische
- Seite 61 und 62: Daher erhält B von A eine Lösung
- Seite 63 und 64: sieht. Daher konnten wir den Wert s
- Seite 65 und 66: GHR-Signaturen mit spezieller Funkt
- Seite 67 und 68: Beweis von Theorem 77. B startet A,
- Seite 69 und 70: 4.5 Offene ProblemeDas Hohenberger-
- Seite 71 und 72: 2. Nicht-Degeneriertheit. Für Gene
- Seite 73 und 74: Vfy(pk, m, σ). Der Verifikationsal
- Seite 75 und 76: Das Problem. Sei U 1 , . . . , U n
- Seite 77 und 78: 5.3.1 Programmierbare Hashfunktione
- Seite 79 und 80: Bemerkung 96. In anderen Kontexten
- Seite 81 und 82: Die so simulierten Signaturen sind
- Seite 83 und 84: Unmöglichkeitsbeweis, dass es kein
- Seite 85 und 86: der Fiat-Shamir Heuristik [FS87] au
- Seite 87 und 88: 6.2.1 Das SignaturverfahrenSei im F
- Seite 89 und 90: hoher Wahrscheinlichkeit) den gehei
- Seite 91 und 92: 4. Zum Schluss prüft Vfy, ob die a
- Seite 93: Literaturverzeichnis[BB04][BF01]Dan
- Seite 97 und 98: [KL07]Jonathan Katz and Yehuda Lind