Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Transkript

1 Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft

2 Socrative: Wiederholung Room: SIGNATUREN Was besagt die RSA-Annahme? Was ist Shamirs Trick? Welche Sicherheitsbegriffe erfüllt RSA-PSS? B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

3 Socrative vom letzten Mal Bei Bezug auf die aktuell besten Algorithmen ist es doch weiterhin möglich, dass z.b. geheime Algorithmen besser sind? B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

4 Socrative vom letzten Mal Bei Bezug auf die aktuell besten Algorithmen ist es doch weiterhin möglich, dass z.b. geheime Algorithmen besser sind? Ja, natürlich! Solang Annahme gilt, wissen wir aber, dass zumindest kein PPT-Angreifer existiert. Es ist aber auch denkbar, dass Annahmen gebrochen werden. (Erinnerung: Zusammenhang zu P & NP etc....) Aber irgendwie müssen wir die Parameter ja wählen :) Außerdem: Wir hatten ja aufgerundet B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

5 Socrative vom letzten Mal Bei Bezug auf die aktuell besten Algorithmen ist es doch weiterhin möglich, dass z.b. geheime Algorithmen besser sind? Ja, natürlich! Solang Annahme gilt, wissen wir aber, dass zumindest kein PPT-Angreifer existiert. Es ist aber auch denkbar, dass Annahmen gebrochen werden. (Erinnerung: Zusammenhang zu P & NP etc....) Aber irgendwie müssen wir die Parameter ja wählen :) Außerdem: Wir hatten ja aufgerundet Ist RSA-PSS Prüfungsrelevant? Ja, der Sicherheitsbeweis aber nicht (Generell: Alles aus der VL prüfungsrelevant, außer ich sage explizit etwas anderes) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

6 Socrative vom letzten Mal Sagt man wirklich tight? B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

7 Socrative vom letzten Mal Sagt man wirklich tight? Ja! B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

8 Inhalt Genaro-Halevi-Rabin Signaturen (Kap 4.3) Chamäleon-Hashfunktionen (Kap. 3) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

9 RSA-Signaturen: Probleme Bisher betrachtete Verfahren nur im Random-Oracle Modell sicher Offenes Problem: EUF-CMA-sichere Signatur basierend auf RSA-Annahme, dass effizient (d.h. in Praxis verwendbar) ist und kein Random-Oracle benötigt. Abhilfe : Strong-RSA-Annahme B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

10 Strong-RSA-Annahme RSA-Problem: Geg. N, e geeignet und y Z N, finde x Z N mit x e y mod N. RSA-Annahme: PPT A gilt: [ Pr A(1 k, N, e, y) = x : für eine in k vernachlässigbare Funktion negl. N = P Q, e Z ϕ(n), ] y Z N, x e negl(k) y mod N B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

11 Strong-RSA-Annahme Strong-RSA-Problem: Geg. N geeignet und y Z N, finde x Z N und e N, e > 1 mit x e y mod N. Strong-RSA-Annahme: PPT A gilt: [ Pr A(1 k, N, y) = (x, e) : für eine in k vernachlässigbare Funktion negl. ] N = P Q, e > 1, y Z N, x e negl(k) y mod N B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

12 Strong-RSA: Begriffsverwirrung Strong-RSA-Annahme stärker als RSA-Annahme Wir erlauben dem Angreifer mehr Kontrolle bzw. schwächen seine Gewinnbedingung ab Dadurch nehmen wir mehr an, da wir annehmen, dass es für den Angreifer immer noch schwierig ist, zu gewinnen B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

13 Strong-RSA: Begriffsverwirrung Strong-RSA-Annahme stärker als RSA-Annahme Wir erlauben dem Angreifer mehr Kontrolle bzw. schwächen seine Gewinnbedingung ab Dadurch nehmen wir mehr an, da wir annehmen, dass es für den Angreifer immer noch schwierig ist, zu gewinnen. Strong-RSA-Problem schwächer als RSA-Problem Gewinnbedingung vereinfacht, Problem damit (potentiell) einfacher B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

14 Strong-RSA: Begriffsverwirrung Strong-RSA-Annahme stärker als RSA-Annahme Wir erlauben dem Angreifer mehr Kontrolle bzw. schwächen seine Gewinnbedingung ab Dadurch nehmen wir mehr an, da wir annehmen, dass es für den Angreifer immer noch schwierig ist, zu gewinnen. Strong-RSA-Problem schwächer als RSA-Problem Gewinnbedingung vereinfacht, Problem damit (potentiell) einfacher Strong-RSA-Annahme RSA-Annahme, Umkehrung unklar B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

15 Genaro-Halevi-Rabin Signaturen (Kap ) Es sei h : {0, 1} P eine Hashfunktion (P = Primzahlen) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

16 Genaro-Halevi-Rabin Signaturen (Kap ) Es sei h : {0, 1} P eine Hashfunktion (P = Primzahlen) Gen(1 k ) : erstelle N = P Q, P, Q prim und zufällig s Z N Wähle h so, dass für alle m gilt, dass ggt(h(m), ϕ(n)) = 1 pk := (N, s, h) sk := ϕ(n) = (P 1)(Q 1) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

17 Genaro-Halevi-Rabin Signaturen (Kap ) Es sei h : {0, 1} P eine Hashfunktion (P = Primzahlen) Gen(1 k ) : erstelle N = P Q, P, Q prim und zufällig s Z N Wähle h so, dass für alle m gilt, dass ggt(h(m), ϕ(n)) = 1 pk := (N, s, h) sk := ϕ(n) = (P 1)(Q 1) Sign(sk, m) : σ := s 1/h(m) mod N B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

18 Genaro-Halevi-Rabin Signaturen (Kap ) Es sei h : {0, 1} P eine Hashfunktion (P = Primzahlen) Gen(1 k ) : erstelle N = P Q, P, Q prim und zufällig s Z N Wähle h so, dass für alle m gilt, dass ggt(h(m), ϕ(n)) = 1 pk := (N, s, h) sk := ϕ(n) = (P 1)(Q 1) Sign(sk, m) : σ := s 1/h(m) mod N Vfy(pk, m, σ) : σ h(m)? s mod N B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

19 Genaro-Halevi-Rabin Signaturen (Kap ) Es sei h : {0, 1} P eine Hashfunktion (P = Primzahlen) Gen(1 k ) : erstelle N = P Q, P, Q prim und zufällig s Z N Wähle h so, dass für alle m gilt, dass ggt(h(m), ϕ(n)) = 1 pk := (N, s, h) sk := ϕ(n) = (P 1)(Q 1) Sign(sk, m) : σ := s 1/h(m) mod N Vfy(pk, m, σ) : σ h(m)? s mod N ( : Ist möglich, wir gehen nicht weiter darauf ein.) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

20 GHR-Signaturen: Sicherheit Theorem 70: Für jeden PPT-Angreifer A der die EUF-naCMA-Sicherheit von Σ in Zeit t A mit Erfolgswahrscheinlichkeit ɛ A bricht, existiert ein PPT-Angreifer B, der in Zeit t B t A läuft und entweder die Kollisionsresistenz von h bricht mit Erfolgswahrscheinlichkeit ɛ coll ɛ A /2, oder das Strong-RSA-Problem löst mit Erfolgswahrscheinlichkeit ɛ srsa ɛ A / B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

21 GHR-Signaturen: Beweis EUF-naCMA: Seien m 1,..., m q die Anfragen und (m, σ ) die Ausgabe von A Zwei Ereignisse: E 0 : Es existiert m i mit h(m i ) = h(m ). E 1 : Für alle i {1,..., q} gilt h(m i ) = h(m ) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

22 GHR-Signaturen: Beweis EUF-naCMA: Seien m 1,..., m q die Anfragen und (m, σ ) die Ausgabe von A Zwei Ereignisse: E 0 : Es existiert m i mit h(m i ) = h(m ). E 1 : Für alle i {1,..., q} gilt h(m i ) = h(m ) A ruft E 0 oder E 1 hervor, also gilt ɛ A Pr[E 0 ] + Pr[E 1 ] Pr[E 0 ] ɛ A /2 oder Pr[E 1 ] ɛ A / B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

23 GHR-Signaturen: Beweis - Ereignis E 0 E 0 : Es existiert m i mit h(m i ) = h(m ). m i und m sind h-kollision. Reduziere auf Kollisionsresistenz von h. B erhält als Eingabe h, zieht (pk, sk) Gen(1 k ), simuliert A, B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

24 GHR-Signaturen: Beweis - Ereignis E 1 E 1 : Für alle i {1,..., q} gilt h(m i ) = h(m ). Reduziere auf Strong-RSA-Annahme. Annahme: Es existiert PPT A, konstruiere B B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

25 GHR-Signaturen: Beweis - Ereignis E 1 E 1 : Für alle i {1,..., q} gilt h(m i ) = h(m ). Reduziere auf Strong-RSA-Annahme. Annahme: Es existiert PPT A, konstruiere B... B erhält als Eingabe (N, y) und muss (x, e) finden mit e > 1 x e y mod N B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

26 GHR-Signaturen: srsa-reduktion Erinnerung: Gen(1 k ) : s Z N pk := (N, s, h) sk := ϕ(n) σ = s 1/h(m) mod N B verwendet (N, y) und setzt s := y Π i {1,...,q} h(m i ) mod N B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

27 GHR-Signaturen: srsa-reduktion Erinnerung: Gen(1 k ) : s Z N pk := (N, s, h) sk := ϕ(n) σ = s 1/h(m) mod N B verwendet (N, y) und setzt s := y Π i {1,...,q} h(m i ) mod N ( stellt sicher, dass s korrekt verteilt ist!) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

28 GHR-Signaturen: srsa-reduktion Erinnerung: Gen(1 k ) : s Z N pk := (N, s, h) sk := ϕ(n) σ = s 1/h(m) mod N B verwendet (N, y) und setzt s := y Π i {1,...,q} h(m i ) mod N ( stellt sicher, dass s korrekt verteilt ist!) Signatur für Nachricht m j : σ j := y Π i {1,...,q}\{j} h(m i ) mod N B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

29 GHR-Signaturen: srsa-reduktion - Fälschung E 1 tritt ein: A gibt gültige Fälschung (m, σ ) aus mit h(m ) = h(m i ) für alle i {1,..., q}, und (σ ) h(m ) s y Π i {1,...,q} h(m i ) mod N Zusätzlich gilt: ggt(h(m ), Π i {1,...,q} h(m i )) = 1, da h auf Primzahlen abbildet und E 1 eingetreten ist B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

30 GHR-Signaturen: Shamirs Trick (σ ) h(m ) s y Π i {1,...,q} h(m i ) mod N B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

31 GHR-Signaturen: Shamirs Trick (σ ) h(m ) s y Π i {1,...,q} h(m i ) mod N Lemma 31: Seien J, S Z N und e, f aus Z, sodass ggt(e, f ) = 1 und J f S e mod N, dann gibt es einen effizienten Algorithmus, der gegeben N Z und (J, S, e, f ) Z 2 N Z2 ein x Z N berechnet, sodass x e J mod N B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

32 GHR-Signaturen: Shamirs Trick (σ ) h(m ) s y Π i {1,...,q} h(m i ) mod N Lemma 31: Seien J= y, S= σ Z N und e= h(m ), f = Π i {1,...,q} h(m i ) aus Z, sodass ggt(e, f ) = 1 und J f S e mod N, dann gibt es einen effizienten Algorithmus, der gegeben N Z und (J, S, e, f ) Z 2 N Z2 ein x Z N berechnet, sodass x e J mod N. x h(m ) y mod N Also: (x, h(m )) ist gesuchte Lösung der srsa-instanz B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

33 Ziel: EUF-CMA basierend auf RSA Kapitel 4.4 kein Teil der Vorlesung. Inhalt dort: Konstruktion einer EUF-CMA-sicheren Signatur basierend auf dem RSA-Problem. (Ohne Random Oracle!) Generelles Vorgehen: Zeige: GHR-Signaturen unter RSA-Annahme selektiv sicher. Transformation: Selektive Sicherheit EUF-naCMA Wende darauf ein paar Modifikationen an (zur Effizienzsteigerung) Führt zu EUF-naCMA-sicheren Hohenberger-Waters-Signaturen Transformation: EUF-naCMA EUF-CMA B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

34 Offene Probleme Konstruktion einer effizenten EUF-CMA-sicheren Signatur basierend auf dem RSA-Problem Hohenberger-Waters Verfahren sehr ineffizient In jedem Schritt müssen viele Primzahlen gefunden werden B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

35 Socrative B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen Room: SIGNATUREN Zusammenhang: RSA-, srsa-, Faktorisierungsannahme? Existieren Hashftk. die auf Primzahlen abbilden? Warum braucht man bei GHR eine Hashfkt. die auf Primzahlen abbildet? Auf was wird bei GHR reduziert?

36 Chamäleon-Signaturen: Motivation (Kap. 3.1) Händler Kunde Händler B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

37 Chamäleon-Signaturen: Motivation (Kap. 3.1) Angebot? Händler Kunde 100$, σ 1 Händler B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

38 Chamäleon-Signaturen: Motivation (Kap. 3.1) Angebot? Händler Kunde 100$, σ 1 100$, σ 1 99$, σ 2 Händler B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

39 Chamäleon-Signaturen: Ziel Frage: Können wir ein Signaturverfahren konstruieren, sodass K die Authentizität des Angebots von H 1 verifizieren kann, aber... K den Händler H 2 nicht davon überzeugen kann, dass das Angebot von H 1 kam? B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

40 Chamäleon-Hashfunktionen (Definition) (Kap. 3.2) Def. (Chamäleon-Hashfunktion): Eine Chamäleon-Hashfunktion CH besteht aus zwei PPT-Algorithmen (Gen CH, TrapColl CH ): B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

41 Chamäleon-Hashfunktionen (Definition) (Kap. 3.2) Def. (Chamäleon-Hashfunktion): Eine Chamäleon-Hashfunktion CH besteht aus zwei PPT-Algorithmen (Gen CH, TrapColl CH ): Gen CH (1 k ) : gibt (ch, τ) aus: ch ist eine Funktion ch : M R N M Nachrichtenraum R Zufallsraum N Zielraum M, R, N abhängig von konkreter CH! τ ist eine Trapdoor ( Falltür ) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

42 Chamäleon-Hashfunktionen (Definition - II) TrapColl CH (τ, m, r, m ) für (m, r, m ) M R M berechnet r R, sodass ch(m, r) = ch(m, r ) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

43 Chamäleon-Hashfunktionen (Definition - II) TrapColl CH (τ, m, r, m ) für (m, r, m ) M R M berechnet r R, sodass ch(m, r) = ch(m, r ) Wer τ kennt, kann Kollisionen berechnen Daher der Name Chamäleon -Hashfunktion Ausgabe wechselt ihr Urbild wechselt ihre Farbe B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

44 Chamäleon-Hashfunktionen (Definition - II) TrapColl CH (τ, m, r, m ) für (m, r, m ) M R M berechnet r R, sodass ch(m, r) = ch(m, r ) Wer τ kennt, kann Kollisionen berechnen Daher der Name Chamäleon -Hashfunktion Ausgabe wechselt ihr Urbild wechselt ihre Farbe Anm.: Häufig wird verlangt, dass r quasi gleichverteilt ist (spielt in der VL keine Rolle) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

45 Kollisionsresistenz Def. 39 (Kollisionsresistenz für Chamäleon-Hashfkt.): Eine Chamäelon-Hashfunktion CH = (Gen CH, TrapColl CH ) ist kollisionsresistent, falls für alle PPT A gilt, dass B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

46 Kollisionsresistenz Def. 39 (Kollisionsresistenz für Chamäleon-Hashfkt.): Eine Chamäelon-Hashfunktion CH = (Gen CH, TrapColl CH ) ist kollisionsresistent, falls für alle PPT A gilt, dass [ (ch, τ) GenCH (1 Pr k ) A(1 k, ch) = (m, r, m, r ) : ch(m, r) = ch(m, r ] ) (m, r) = (m, r negl(k) ) für eine im Sicherheitsparameter k vernachlässigbare Funktion negl B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

47 CH-Fkt. basierend auf DLog (Kap ) Wie immer: G Gruppe, G = p prim, g Erzeuger von G B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

48 CH-Fkt. basierend auf DLog (Kap ) Wie immer: G Gruppe, G = p prim, g Erzeuger von G Gen(1 k ) : x Z p h := g x ch := (g, h) τ := x B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

49 CH-Fkt. basierend auf DLog (Kap ) Wie immer: G Gruppe, G = p prim, g Erzeuger von G Gen(1 k ) : x Z p h := g x ch := (g, h) τ := x ch beschreibt Funktion: ch : Z p Z p G ch(m, r) := g m h r B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

50 CH-Fkt. basierend auf DLog ch(m, r) = g m h r TrapColl(τ, m, r, m ) : B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

51 CH-Fkt. basierend auf DLog ch(m, r) = g m h r TrapColl(τ, m, r, m ) : Berechnet r, sodass m + x r m + x r modp B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

52 CH-Fkt. basierend auf DLog ch(m, r) = g m h r TrapColl(τ, m, r, m ) : Berechnet r, sodass r m + x r m + x r = m m x modp + r modp B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

53 CH-Fkt. basierend auf DLog ch(m, r) = g m h r TrapColl(τ, m, r, m ) : Berechnet r, sodass Damit folgt: r m + x r m + x r = m m x modp + r modp ch(m, r) = g m h r = g m+xr = g m +xr = g m h r = ch(m, r ) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

54 CH-Fkt. basierend auf DLog - Sicherheit Theorem 40: Für jeden PPT A, der als Eingabe ch = (g, h) Gen(1 k ) erhält, in Zeit t A läuft und mit Erfolgswahrscheinlichkeit ɛ A ein Tupel (m, r, m, r ) ausgibt, sodass (m, r) = (m, r ) und ch(m, r) = ch(m, r ) gilt, existiert ein PPT B, der das DLog-Problem in G in Zeit t B t A mit Erfolgswkt. ɛ B ɛ A löst. Beweis: Ähnlich wie Beweis von DLog-Einmalsignatur (Theorem 28) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

55 CH-Fkt. basierend auf dem RSA-Problem (Kap ) Gen(1 k ) : N = P Q, P, Q prim Primzahl e > 2 N mit ggt(e, ϕ(n)) = 1 d = e 1 mod ϕ(n) J Z N ch := (N, e, J) τ := d ch : Z N Z N Z N ch(m, r) := J m r e mod N B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

56 CH-Fkt. basierend auf dem RSA-Problem ch(m, r) := J m r e mod N TrapColl(τ, m, r, m ): B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

57 CH-Fkt. basierend auf dem RSA-Problem ch(m, r) := J m r e mod N TrapColl(τ, m, r, m ): Berechnet r wie folgt r = (J m m r e ) d mod N B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

58 CH-Fkt. basierend auf dem RSA-Problem ch(m, r) := J m r e mod N TrapColl(τ, m, r, m ): Berechnet r wie folgt r = (J m m r e ) d mod N ch(m, r) = J m r e mod N = J m (r ) e mod N = ch(m, r ) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

59 CH-Fkt. basierend auf dem RSA-Problem: Sicherheit Theorem 42: Sei (N, e, y) eine Instanz des RSA-Problems, sodass e > 2 N eine Primzahl ist. Für jeden PPT A, der als Eingabe (N, e, J) erhält, in Zeit t A läuft und mit Erfolgswahrscheinlichkeit ɛ B ein Tupel (m, r, m, r ) mit (m, r) = (m, r ) und ch(m, r) = ch(m, r ) berechnet, existiert ein PPT B, der das RSA-Problem (mit e > 2 N und prim) in Zeit t B t A und Erfolgswkt. ɛ B ɛ A löst. Beweis: Ähnlich wie Beweis von RSA-Einmalsignatur (Theorem 30) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

60 Socrative Room: SIGNATUREN Wieviele Hashwerte gibt es für eine feste Nachricht bei CH-Fkts.? Wieviele Urbildtupel gibt es bei einem CH-Hashwert? Was ermöglicht die Trapdoor von CH-Fkts.? B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen