Vorlesung Digitale Signaturen im Wintersemester 2016/-17. Socrative-Fragen aus der Vorlesung vom

Transkript

1 Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Gunnar Hartung, Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2016/-17 Socrative-Fragen aus der Vorlesung vom Quiz 1: Wiederholung 1. Wenn mit einem beliebigen EUF-1-naCMA-sicheren Digitalen Signaturverfahren zwei Nachrichten m 1 m 2 mit Hilfe des selben geheimen Schlüssels signiert werden, dann gibt es immer einen PPT-Angreifer, der mit nichtvernachlässigbarer Wahrscheinlichkeit eine Signatur für eine gegebene Nachricht m 3 / {m 1, m 2 } berechnet. Erklärung: Jedes EUF-CMA-sichere Signaturverfahren ist auch EUF-1-naCMAsicher. Wenn die Aussage wahr wäre, dann könnte es keine EUF-CMAsicheren Signaturverfahren geben. 2. Die aus der Vorlesung bekannten Dlog- und RSA-basierten Einmalsignaturverfahren bleiben auch dann sicher, wenn mit einem Secret Key zwei Nachrichten signiert werden. Anmerkung: Siehe die Folien zur Vorlesung Das Lamport-Einmalsignaturverfahren wird unsicher, wenn mit einem Secret- Key zwei vom Angreifer gewählte und unterschiedliche Nachrichten signiert werden. 1

2 Korrekte Antwort: Wahr 4. In der letzten Vorlesung wurde eine Transformation vorgestellt, mit der man... (A) aus einem EUF-1-naCMA-sicheren Signaturverfahren und einem UUF-CMAsicheren Signaturverfahren ein EUF-naCMA-sicheres Signaturverfahren konstruieren kann. (B) aus einem UUF-NMA-sicheren Einmalsignaturverfahren und einem EUF-naCMA-sicheren Signaturverfahren ein EUF-CMA-sicheres Signaturverfahren konstruieren kann. (C) aus einem EUF-1-naCMA-sicheren Einmalsignaturverfahren und einem EUF-naCMA-sicheren Signaturverfahren ein EUF-CMA-sicheres Signaturverfahren konstruieren kann. 5. Die für die Transformation verwendeten Signaturverfahren seien Σ und Σ (1). Eine Signatur des durch die Transformation entstehenden Signaturverfahrens besteht aus... (mehrere Antworten möglich) (A) einer Signatur für die Nachricht, die mit dem Sign-Algorithmus von Σ aber einem zufälligen neu gewählten Schlüssel sk (1) des Einmalsignaturverfahrens Σ (1) berechnet wurde (B) einem öffentlichen Schlüssel pk (1) des Einmalsignaturverfahrens Σ (1) (C) einem öffentlichen Schlüssel pk des Signaturverfahrens Σ (D) einer Signatur für sk (1) unter dem öffentlichen Schlüssel pk von Σ (E) einer Signatur für die Nachricht unter dem Schlüssel pk (1) von Σ (1) (F) einer Signatur für die Nachricht unter dem Schlüssel pk von Σ (G) einer Signatur für pk unter dem Schlüssel pk (1) von Σ (1) (H) einer Signatur für den Schlüssel pk (1) unter dem pk von Σ Korrekte Antwort: B, E und H 6. Im Sicherheitsbeweis für das aus der Transformation entstehende Signaturverfahren Σ unterscheiden wir die folgenden zwei Fälle: (A) 1. Der Angreifer hat Erfolg und er fälscht eine Signatur für eine Nachricht, für die er bereits eine Signaturanfrage gestellt hat. 2. Der Angreifer hat keinen Erfolg, aber seine Fälschung bezieht sich auf eine Nachricht m, für die er keine Signaturanfrage gestellt hatte. (B) 1. Der Angreifer hat Erfolg und er fälscht eine Signatur für eine Nachricht, für die er keine Signaturanfrage gestellt hatte. 2. Der Angreifer hat Erfolg und die Signatur für den beim Signieren neu erstellten öffentlichen Schlüssel kam in keiner der Antworten auf die Signaturanfragen vor. (C) 1. Der Angreifer A hat Erfolg und seine Fälschung enthält einen bereits in den Signaturanfragen verwendeten Schlüssel. 2. Der Angreifer A hat Erfolg und seine Fälschung enthält keinen der bereits in den Signaturanfragen verwendeten Schlüssel. 2

3 2 Quiz 2: Baum-basierte Signaturen und Merkle- Bäume 1. Um Platz beim geheimen Schlüssel einzusparen benutzt man Merkle-Bäume, und speichert nur den Hash-Wert des Wurzelknotens. Erklärung: Mit Merkle-Bäumen kann man den öffentlichen Schlüssel komprimieren. 2. Die vorgestellten q-mal Signaturverfahren sind beweisbar EUF-q-CMAsicher, wenn... (A) das Einmalsignaturverfahren EUF-1-naCMA-sicher ist und ggf. H kollisionsresistent ist. (B) das Einmalsignaturverfahren EUF-1-CMA-sicher ist und ggf. H eine Pseudozufallsfunktion ist. (C) das Einmalsignaturverfahren EUF-1-CMA-sicher ist und ggf. H kollisionsresistent ist. (D) das Einmalsignaturverfahren EUF-1-naCMA-sicher ist und ggf. H eine Pseudozufallsfunktion ist. (E) das Einmalsignaturverfahren EUF-1-CMA-sicher ist und ggf. H eine Einwegfunktion ist. 3. Bei dem vorgestellten digitalen Signaturverfahren mit Merkle-Bäumen und der Komprimierung des geheimen Schlüssels, ist... (mehrere Antworten möglich) (A) pk O(1) (B) pk Ω(q) (C) sk O(1) (D) sk Θ(log q) (E) σ Θ(log q) (F) σ Ω(q) Korrekte Antwort: A, C und E 3

4 3 Quiz 3: Textbook-RSA und RSA PKCS #1 v Das Textbook-RSA-Signaturverfahren ist zwar nicht EUF-NMA, aber UUF- CMA-sicher, wenn die RSA-Annahme gilt. Erklärung: Das Textbook-RSA-Signaturverfahren ist weder EUF-NMAnoch UUF-CMA-sicher. 2. Das Textbook-RSA-Verfahren ist homomorph. Korrekte Antwort: Wahr 3. Um sichere RSA-basierte Signaturverfahren zu erhalten, kann man das Textbook-RSA-Verfahren um eine geeignete Vorverarbeitung der Nachricht ergänzen. Korrekte Antwort: Wahr Anmerkung: So kann man zumindest Signaturverfahren erhalten, die im Random-Oracle-Modell EUF-CMA-sicher unter der RSA-Annahme sind. 4. Das RSA PKCS #1 v1.5 Signaturverfahren ist EUF-CMA-sicher, wenn die RSA-Annahme wahr ist. Korrekte Antwort: Unklar 5. Das RSA PKCS #1 v1.5 Signaturverfahren ist randomisiert, damit ein Angreifer die Nachricht nicht erfahren kann. 4

5 Anmerkung: Das fragliche Signaturverfahren ist nicht randomisiert. Außerdem dienen digitale Signaturen nicht dazu, die Nachricht vor einem Angreifer geheim zu halten. 5