RSA Full Domain Hash (RSA-FDH) Signaturen

Transkript

1 RSA Full Domain Hash (RSA-FDH) Signaturen Signatur RSA-FDH Sei H : {0, 1} Z N ein Random-Oracle. 1 Gen: (N, e, d) GenRSA(1 n ) mit pk = (N, e) und sk = (N, d). 2 Sign: Für eine Nachricht m {0, 1} berechne σ H(m) d mod N. 3 Vrfy: Für (m, σ) überprüfe σ e =? H(m) mod N. Anmerkung: RSA-FDH entspricht Hashed-RSA mit einem Random Oracle als Hashfunktion. Krypto II - Vorlesung Full Domain Hash, Hash-and-Sign Paradigma, Einwegsignaturen 129 / 159

2 CMA-Sicherheit von RSA-FDH Satz CMA-Sicherheit von RSA-FDH Unter der RSA-Annahme und für ein Random-Oracle H ist RSA-FDH ein CMA-sicheres Signaturverfahren. Beweisskizze: Sei Π = RSA-FDH und ǫ = Ws[Forge A,Π (n) = 1]. OBdA gelten folgende Annahmen für die Orakelanfragen von A: 1 A fragt verschiedene x 1,...,x q an H( ). 2 Bevor A Anfrage m an Sign sk ( ) stellt, fragt er H(m) an. 3 Für eine Fälschung (m, σ) hat A zuvor Anfrage H(m) gestellt. Konstruieren RSA-Invertierer A mittels A. Krypto II - Vorlesung Full Domain Hash, Hash-and-Sign Paradigma, Einwegsignaturen 130 / 159

3 Beweis der CMA-Sicherheit von RSA-FDH Algorithmus RSA-Invertierer A EINGABE: N, e, y = x e mod N 1 Wähle j R {1,..., q}. 2 (m,σ) A Sign sk( ) (N, e). Beantworte { Orakelanfragen mi an H( ) konsistent mit σi e mod N für ein selbst gewähltesσ R Z N für i j H(m i ) =. y sonst Beantworte Orakelanfragen { mi an Sign sk ( ) mit σ i für i j Sign sk (H(m i )) =. Abbruch sonst 3 Falls m = m j und σ e = y mod N, setze x σ. AUSGABE: x Unter der RSA-Annahme gilt negl(n) Ws[A (N, e, x e ) = x] = Ws[m = m j ] Ws[Forge A,Π (n) = 1] = ǫ(n) q. Damit ist ǫ(n) q negl(n) vernachlässigbar für polynomielles q. Krypto II - Vorlesung Full Domain Hash, Hash-and-Sign Paradigma, Einwegsignaturen 131 / 159

4 Hash-and-Sign Paradigma Ziel: Signaturen für Nachrichten beliebiger Länge Starten mit Signaturverfahren Π für m {0, 1} n. Verwenden Hashfunktion H : {0, 1} {0, 1} n. Unterschreiben Hashwerte statt der Nachrichten. Definition Hash-and-Sign Paradigma Sei Π = (Gen, Sign, Vrfy) und Π H = (Gen H, H) eine Hashfunktion. 1 Gen : (pk, sk) Gen(1 n ), s Gen H (1 n ). Ausgabe pk = (pk, s) und sk = (sk, s). 2 Sign : Für eine Nachricht m {0, 1} berechne σ Sign sk (H s (m)). 3 Vrfy : Für eine Nachricht m {0, 1} mit Signatur σ prüfe Vrfy pk (H s (m),σ)? = 1. Intuition: Fälschung impliziert Fälschung in Π oder Kollision in H. Krypto II - Vorlesung Full Domain Hash, Hash-and-Sign Paradigma, Einwegsignaturen 132 / 159

5 Sicherheit von Hash-and-Sign Satz Sicherheit des Hash-and-Sign Paradigmas Sei Π CMA-sicher und Π H kollisionsresistent. Dann ist das Hash-and-Sign Signaturverfahren Π CMA-sicher. Beweis: Sei A ein Angreifer für Hash-and-SignΠ mit Ausgabe (m,σ). Sei Q = {m 1,..., m q } die Menge der von A an das Signierorakel Sign sk ( ) gestellten Anfragen. Es gilt m / Q. Sei coll das Ereignis, dass m i Q mit H s (m i ) = H s (m). Dann gilt Ws[Forge A,Π (n) = 1] = Ws[Forge A,Π (n) = 1 coll]+ws[forge A,Π (n) = 1 coll] Ws[coll]+Ws[Forge A,Π (n) = 1 coll] Wir zeigen nun, dass beide Summanden vernachlässigbar sind. Krypto II - Vorlesung Full Domain Hash, Hash-and-Sign Paradigma, Einwegsignaturen 133 / 159

6 Algorithmus für Kollisionen Beweis: Ws[coll] negl(n) Konstruieren mittels A einen Algorithmus C für Kollisionen. Algorithmus C EINGABE: s 1 Berechne (pk, sk) Gen(1 n ). Setze pk (pk, s). 2 (m,σ) A(pk ). Auf Orakelanfrage m i {0, 1}, antworte mit σ i Sign sk (H s (m i )). { (m, m i ) falls H s (m) = H s (m i ) für ein m i AUSGABE:. keine Kollision sonst Es gilt Ws[coll] = Ws[HashColl C,ΠH (n) = 1]. Aus der Kollisionsresistenz von H folgt Ws[HashColl C,ΠH (n) = 1] negl(n). Krypto II - Vorlesung Full Domain Hash, Hash-and-Sign Paradigma, Einwegsignaturen 134 / 159

7 Algorithmus C für Kollisionen (1 n,s) Ausgabe C (pk,sk) Gen(1 n ) pk = (pk,s) σ i = Sign sk (H s (m i )) Ausgabe: (m,m i ) falls für ein i H s (m) = H s (m i ) keine Kollision sonst (1 n,pk ) m i σ i (m,σ) A m i {0,1} Q = {m 1,...,m q } Berechne: (m, σ) m {0,1} \Q Krypto II - Vorlesung Full Domain Hash, Hash-and-Sign Paradigma, Einwegsignaturen 135 / 159

8 Fälschen von Signaturen in Π Beweis: Ws[Forge A,Π (n) = 1 coll] negl(n) Konstruieren mittels A einen Angreifer A für Π. Algorithmus A EINGABE: pk, Zugriff auf Signierorakel Sign sk ( ) 1 Berechne s Gen H (1 n ). Setze pk = (pk, s). 2 (m,σ) A(pk ). Beantworte Orakelanfrage m i {0, 1} mit Ausgabe σ i Sign sk (H s (m i )) des Signierorakels. 3 Setze m H s (m). AUSGABE: (m,σ) Falls (m,σ) gültig ist für Π, so ist (m,σ) = (H s (m),σ) gültig für Π. Ereignis coll bedeutet, dass m H s (m i ) für alle Anfragen H s (m i ). Damit gilt Ws[Forge A,Π (n) coll] = Ws[Forge A,Π(n) = 1]. Aus der CMA-Sicherheit von Π folgt Ws[Forge A,Π(n) = 1] negl(n). Krypto II - Vorlesung Full Domain Hash, Hash-and-Sign Paradigma, Einwegsignaturen 136 / 159

9 Algorithmus A für Fälschungen (1 n,pk) H(m i ) A s Gen H (1 n ) pk = (pk,s) (1 n,pk ) m i A m i {0,1} Q = {m 1,...,m q } σ i (m,σ) Ausgabe: Setze m = H s (m) σ i (m,σ) Berechne: (m, σ) m {0,1} \Q Krypto II - Vorlesung Full Domain Hash, Hash-and-Sign Paradigma, Einwegsignaturen 137 / 159

10 Einwegsignaturen Ziel: Einwegsignaturen Konstruieren Verfahren zum sicheren Signieren einer Nachricht. Konstruktion mittels kollisionsresistenter Hashfunktionen. Spiel Forge einweg A,Π (n) 1 (pk, sk) Gen(1 n ) 2 (m,σ) A Signsk( ) (pk), wobei A eine Nachricht m m an Sign sk ( ) anfragen darf. { 3 Forge einweg A,Π (n) = 1 falls Vrfy pk (m,σ) = 1. 0 sonst Krypto II - Vorlesung Full Domain Hash, Hash-and-Sign Paradigma, Einwegsignaturen 138 / 159

11 Forge einweg A,Π (n) (pk,sk) Gen(1 n ) σ = Sign sk (m ) Ausgabe: { 1 if Vrfy pk (m,σ) = 1 0 else (1 n,pk) m σ (m,σ) A m M Berechne: (m, σ) m m M Definition CMA-sichere Einwegsignaturen Ein Signaturverfahren Π heißt CMA-sichere Einwegsignatur, falls für alle ppt A gilt Pr[Forge einweg A,Π (n) = 1] negl(n). Krypto II - Vorlesung Full Domain Hash, Hash-and-Sign Paradigma, Einwegsignaturen 139 / 159

12 Beispiel von Lamports Einwegsignaturen Illustration: Signieren einer 3-Bit Nachricht Verwende Einwegfunktion f : D R. Wähle als geheimen Schlüssel 6 Element x i,j zufällig aus D. Setze ( ) x1,0 x sk = 2,0 x 3,0. x 1,1 x 2,1 x 3,1 Für alle x i,j berechne y i,j = f(x i,j ). Dies liefert ( ) y1,0 y pk = 2,0 y 3,0. y 1,1 y 2,1 y 3,1 Unterschreibe m = m 1 m 2 m 3 {0, 1} 3 mit σ = x 1,m1 x 2,m2 x 3,m3. Verifikation von (m,σ): Überprüfe f(σ i ) = y i,mi für i = 1, 2, 3. Krypto II - Vorlesung Full Domain Hash, Hash-and-Sign Paradigma, Einwegsignaturen 140 / 159

13 Lamports Einwegsignaturen Definition Lamport Einwegsignaturen Sei f eine Einwegfunktion. Konstruieren Signaturen für m {0, 1} l. Gen: Bei Eingabe 1 n : Wähle x i,j R {0, 1} n, berechne y := f(x i,j ) für i [l], j {0, 1}. ( ) ( ) x1,0... x Setze sk = l,0 y1,0... y und pk = l,0. x 1,1... x l,1 y 1,1... y l,1 Sign: Für m 1...m l {0, 1} l, Ausgabe (m,σ) mit σ = (x 1,m1,..., x l,ml ). Vrfy: Für (m,σ) überprüfe f(σ i )? = y i,mi für i [l]. Krypto II - Vorlesung Full Domain Hash, Hash-and-Sign Paradigma, Einwegsignaturen 141 / 159