Digitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Transkript

1 Digitale Signaturen Wiederholung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK G. Hartung Digitale Signaturen: Wiederholung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft

2 Inhalt Organisatorisches Wiederholung Signaturverfahren Sicherheitsbegriffe Einmal-Signaturen RSA-Signaturen Chamäleon-Hashfunktionen Pairing-basierte Signaturen Socrative: Space Race G. Hartung Digitale Signaturen: Wiederholung

3 Prüfungen mündliche Prüfung einzeln oder als Teil einer Vertiefungsfach-Gesamtprüfung (nur SPO 2015) Termine individuell vergeben an Björn und/oder Gunnar Prüfungsrelevant: Vorlesungsstoff, sofern nicht anders angegeben Sicherheitsbegriffe, Verfahren, Sicherheitseigenschaften, Sicherheitsbeweise (mindestens Grundideen), Bausteine, Hilfsmittel, G. Hartung Digitale Signaturen: Wiederholung

4 Prüfungen Vorsicht beim Lernen: Socrative-Fragen spiegeln keine Prüfungssituation wieder! Prüfung: freies Sprechen und Erklären Fragen enthalten weniger Kontext Empfehlenswert: Übungsaufgaben im Skript Beweise lesen, verstehen, dann selbst ohne weitere Hilfe wiedergeben Üben mit Kommilitonen/Freunden G. Hartung Digitale Signaturen: Wiederholung

5 Inhalt Organisatorisches Wiederholung Signaturverfahren Sicherheitsbegriffe Einmal-Signaturen RSA-Signaturen Chamäleon-Hashfunktionen Pairing-basierte Signaturen Socrative: Space Race G. Hartung Digitale Signaturen: Wiederholung

6 Einführung (I) - Kap. 1 Ziel: Kryptographische Verfahren, die das gleiche leisten, wie eine Unterschrift. Folgendes soll sichergestellt werden: Authentizität Dokument von einer bestimmten Person signiert Integrität signiertes Dokument ist unverändert G. Hartung Digitale Signaturen: Wiederholung

7 Definition: Digitale Signaturen - Kap. 1.1 Def. 1: (Digitale Signaturen) Ein digitales Signaturverfahren ist ein Tupel Σ = (Gen, Sign, Vfy) von probabilistischen Poly-Zeit- Algorithmen: Gen(1 k ) (pk, sk) Sign(sk, m) σ, m {0, 1} p(k), p Polynom { 1, wenn σ gültig, Vfy(pk, m, σ) = 0, sonst Correctness: Das Verfahren funktioniert. Formal: (pk, sk) Gen(1 k ) m {0, 1} p(k) : Vfy(pk, m, Sign(sk, m)) = G. Hartung Digitale Signaturen: Wiederholung

8 Sicherheit - Kap. 1.2 Angreifermodell: Was kann der Angreifer? Welche Angriffsmöglichkeiten stehen zur Verfügung? Beispiele: NMA, 1-naCMA, 1-CMA, nacma, CMA Angreiferziel: Was muss der Angreifer tun, um das Verfahren zu brechen? Beispiele: UUF, SUF (diese VL), EUF, seuf Sicherheitsdefinition ˆ= Angreiferziel + Angreifermodell konkrete Sicherheitsdefinition über Sicherheitsexperimente Schema sicher, wenn alle Angreifer im Angreifermodell höchstens vernachlässigbare Erfolgschance im Sicherheitsexperiment haben G. Hartung Digitale Signaturen: Wiederholung

9 Warum Annahmen? (Skript) Theorem: Sei Σ = (Gen, Sign, Vfy) ein Signaturverfahren. Ist Σ UUF-NMA-sicher, so gilt P = N P G. Hartung Digitale Signaturen: Wiederholung

10 Hand-then-Sign-Signaturen Hash-then-Sign-Signaturen: EUF-CMA-Signaturverfahren + koll. res. Hash-Funktion EUF-CMA-Signaturverfahren mit Nachrichtenraum {0, 1} Def. 15: (Kollisionsresistenz) Eine Hashfunktion H = (Gen H, Eval H ) ist kollisionsresistent, falls für alle t Gen H (1 k ) und alle PPT A gilt, dass Pr[A(1 k, t) = (x, x ) : H t (x) = H t (x ) x = x ] negl(k) für eine im Sicherheitsparameter k vernachlässigbare Funktion negl G. Hartung Digitale Signaturen: Wiederholung

11 Einmalsignaturen Hilfreicher Baustein für stärkere Verfahren. Einfach(er) zu konstruieren. Generisch auf Mehrmal -Signaturen erweiterbar. Beispiele: Lamport Dlog-basiert RSA-basiert G. Hartung Digitale Signaturen: Wiederholung

12 Lamport-Signaturen Gen(1 k ) : Wähle x 1,0, x 1,1,..., x n,0, x n,1 zufällig aus {0, 1} k j {1,..., n} : y j,0 := f (x j,0 ) und y j,1 := f (x j,1 ) ( ) x1,0... x sk = n,0 x 1,1... x n,1 ( ) y1,0... y pk = n,0 y 1,1... y n, G. Hartung Digitale Signaturen: Wiederholung

13 Lamport-Signaturen Gen(1 k ) : Wähle x 1,0, x 1,1,..., x n,0, x n,1 zufällig aus {0, 1} k j {1,..., n} : y j,0 := f (x j,0 ) und y j,1 := f (x j,1 ) ( ) x1,0... x sk = n,0 x 1,1... x n,1 Sign(sk, m) : m = m 1 m 2... m n {0, 1} n σ = (x 1,m1, x 2,m2,..., x n,mn ) ( ) y1,0... y pk = n,0 y 1,1... y n, G. Hartung Digitale Signaturen: Wiederholung

14 Lamport-Signaturen Gen(1 k ) : Wähle x 1,0, x 1,1,..., x n,0, x n,1 zufällig aus {0, 1} k j {1,..., n} : y j,0 := f (x j,0 ) und y j,1 := f (x j,1 ) ( ) x1,0... x sk = n,0 x 1,1... x n,1 Sign(sk, m) : m = m 1 m 2... m n {0, 1} n σ = (x 1,m1, x 2,m2,..., x n,mn ) Vfy(pk, m, σ) : m = m 1... m n, σ = (x 1, x 2,..., x n) Überprüfe für alle i {1,..., n}, ob gilt: f (x i ) = y i,m i? ( ) y1,0... y pk = n,0 y 1,1... y n, G. Hartung Digitale Signaturen: Wiederholung

15 Einwegfunktion (Definition) Def. 22 (Einwegfunktion): Eine Funktion f ist eine Einwegfunktion, wenn f in Polynomialzeit berechenbar ist und für alle PPT A gilt, dass Pr[A(1 k, y := f (x)) = x : x {0, 1} k, f (x ) = y] negl(k) für eine in k vernachlässigbare Funktion negl G. Hartung Digitale Signaturen: Wiederholung

16 DLog-Problem/-Annahme DLog-Problem: Sei G zyklische, endliche Gruppe, G = p prim. Geg. Erzeuger g und y G, finde x Z p : g x = y G. Hartung Digitale Signaturen: Wiederholung

17 DLog-Problem/-Annahme DLog-Problem: Sei G zyklische, endliche Gruppe, G = p prim. Geg. Erzeuger g und y G, finde x Z p : g x = y. DLog-Annahme: PPT A gilt: Pr[A(1 k, g, g x ) = x : g = G zufällig, x Z p ] negl(k) für eine in k vernachlässigbare Funktion negl G. Hartung Digitale Signaturen: Wiederholung

18 DLog-Einmalsignatur Σ = (Gen, Sign, Vfy) mit Nachrichtenraum Z p : Gen(1 k ) : Sign(sk, m) : Vfy(pk, m, σ) : x, ω Z p h := g x c := g ω pk = (g, h, c) sk = (x, ω) σ = ω m x c? = g m h σ Theorem 28: EUF-1-naCMA-sicher unter Dlog-Annahme (in G) G. Hartung Digitale Signaturen: Wiederholung

19 Einmalsignaturen basierend auf RSA Setting: N = P Q, P, Q große Primzahlen ϕ(n) = (P 1)(Q 1) = ZN (Eulersche Phi-Funktion) Wähle zufällig e N, sodass ggt(e, ϕ(n)) = 1. Dann existiert d N mit e d 1 mod ϕ(n). Für x Z N gilt dann auch x e d x mod N. RSA-Problem: Geg. N, e und y Z N, finde x Z N : x e y mod N. RSA-Annahme: RSA-Problem schwer G. Hartung Digitale Signaturen: Wiederholung

20 RSA-Einmalsignaturen Gen(1 k ) : e > 2 n, e prim, mit ggt(e, ϕ(n)) = 1 d := e 1 mod ϕ(n) J, c Z N pk = (N, e, J, c) sk = d Sign(sk, m): Vfy(pk, m, σ) : σ ( c J m ) d mod N c? J m σ e mod N Theorem: EUF-1-naCMA-sicher unter RSA-Annahme. Beweis mit Shamirs Trick G. Hartung Digitale Signaturen: Wiederholung

21 Transformation Intuition: Σ (EUF-naCMA-sicher) + Σ (1) (EUF-1-naCMA-sicher) Σ (EUF-CMA-sicher) Signiert eigentliche Nachricht (unter pk (1) ) σ = ( pk (1), σ (1), σ ) zufälliger neuer Schlüssel Garantiert: pk (1) stammt vom Eigentümer von pk G. Hartung Digitale Signaturen: Wiederholung

22 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk G. Hartung Digitale Signaturen: Wiederholung

23 Textbook-RSA Gen(1 k ) : Wähle P, Q, N, e, d geeignet pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : σ e? = m (mod N) Sicherheit: nicht EUF-NMA-sicher nicht UUF-1-CMA-sicher UUF-NMA-sicher unter RSA-Annahme G. Hartung Digitale Signaturen: Wiederholung

24 RSA-basierte Signaturen Wie konstruiert man sichere RSA-basierte Signaturen? Häufig: geeignete Vorverarbeitung/Codierung von m RSA PKCS #1 v1.5 (Kap. 6.3) RSA-FDH (Full Domain Hash, Kap. 4.2) RSA-PSS (Probabilistic Signature Scheme, Skript) Andere Ansätze: Gennaro-Halevi-Rabin-Signaturverfahren (Kap. 4.3): EUF-naCMA-sicher unter strong-rsa-annahme Hohenberger-Waters-Signaturverfahren (Kap. 4.4, diese VL): auf Basis von GHR, aber wieder unter RSA-Annahme G. Hartung Digitale Signaturen: Wiederholung

25 RSA PKCS #1 v1.5 (Kap. 6.3) Sign(sk, m) : sei H eine kollisionsresistente Hashfunktion. codiere m als m := 0x00 0x01 0xFF... 0xFF 0x00 Angabe von H H(m) σ := (m ) d (mod N) Vfy(pk, m, σ) : berechne m := σ e (mod N) prüfe, ob m korrekte Codierung für m Sicherheit: kein Angriff oder Sicherheitsbeweis bekannt G. Hartung Digitale Signaturen: Wiederholung

26 RSA PKCS #1 v1.5 (Kap. 6.3) Sign(sk, m) : sei H eine kollisionsresistente Hashfunktion. codiere m als Padding Welche Hashfkt.? m := 0x00 0x01 0xFF... 0xFF 0x00 Angabe von H H(m) Typ der Codierung: Signatur σ := (m ) d (mod N) Vfy(pk, m, σ) : berechne m := σ e (mod N) prüfe, ob m korrekte Codierung für m Trenner Sicherheit: kein Angriff oder Sicherheitsbeweis bekannt Hash-Wert G. Hartung Digitale Signaturen: Wiederholung

27 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Konkret: Sign(sk, m) : Vfy(pk, m, σ) : σ := H(m) d (mod N) σ e? H(m) (mod N) Sicherheit: EUF-CMA-sicher unter RSA-Annahme im ROM G. Hartung Digitale Signaturen: Wiederholung

28 Random-Oracle-Modell (ROM) Heuristik betrachte idealisierte Hash-Funktion H Ausgabe von H(m) gleichverteilt zufällig für jede Eingabe m H modelliert als Orakel, das die Hashwerte ausgibt ( Random Oracle ) Das H-Orakel: besitzt einen internen Key-Value-Store T implementiert folgenden Algorithmus : if m in T : return T [m] else: y Z N T [m] := y return y G. Hartung Digitale Signaturen: Wiederholung

29 Random-Oracle-Modell (ROM): Diskussion manche kryptographischen Probleme nur im ROM lösbar Lösungen im ROM oft effizienter als Lösungen im Standardmodell Beispiel: RSA-basierte Signaturen Lösungen im ROM oft einfacher zu konstruieren Vorstufe zur Lösung im Standardmodell für viele Konstruktionen im ROM sind keine realen Angriffe bekannt Es existieren kryptographische Konstruktionen, die im ROM als sicher bewiesen werden können, aber mit jeder realen Hash-Funktion unsicher sind. Aber: diese Konstruktionen sind sehr künstlich ROM insgesamt umstritten G. Hartung Digitale Signaturen: Wiederholung

30 RSA-PSS RSA-basiertes Signaturverfahren [BR96] Vorverarbeitung von m Sign(sk, m) : σ := PSS-Encode(m) d (mod N) PSS-Encoding: siehe [BR96] Vfy(pk, m, σ) : Berechne y = σ e (mod N) gib 1 aus, gdw. y gültige Codierung von m ist Sicherheit: EUF-CMA-sicher im ROM unter RSA-Annahme Sicherheitsbeweis mit geringerem Verlust G. Hartung Digitale Signaturen: Wiederholung

31 Parameterwahl für Kryptosysteme Ziel-Sicherheitslevel: Jeder Angreifer A, der höchstens... t A Rechenoperationen durchführen kann, q Signaturen kennt, q H Hashwerte berechnen kann, soll Erfolgswkt. höchstens ɛ haben. Konkretere Annahme: Es gibt keinen Las-Vegas-Algorithmus C, der die Annahme schneller bricht als mit erwarteter Laufzeit t(n) beinhaltet Annahme über PPT-Algorithmen: gegeben PPT-Algorithmus B mit Laufzeit t B und Erfolgswkt. ɛ B konstruiere Las-Vegas-Algorithmus C: repeat solution B(N) until solution is correct erwartete Laufzeit: 1 ɛb t B G. Hartung Digitale Signaturen: Wiederholung

32 Parameterwahl Sicherheitsbeweis konvertiert Angreifer A gegen Signaturverfahren in Angreifer gegen Annahme B t B f (t A,...) ɛ B g(ɛ A, q,...) wähle n groß genug, sodass t(n) > 1 f (t,...) g(ɛ, q,...) Angenommen es existiert ein Angreifer A, der das Signaturverfahren mit den vorgegebenen Ressourcen bricht, konstruiere B, dann C: t C = ɛ 1 1 t B B g(ɛ A,q A,...) f (t A,...) 1 f (t,...) falls f, g monoton g(ɛ,q,...) < t(n) Widerspruch! G. Hartung Digitale Signaturen: Wiederholung

33 Parameterwahl für Kryptosysteme Bester bekannter Angriff gegen RSA: Faktorisieren von N Neu-Berechnen von ϕ(n) = (P 1)(Q 1), d := e 1 mod ϕ(n) Secret Key bekannt Bester bekannter (klassischer) Faktorisierungalgorithmus: allgemeines Zahlkörpersieb (General Number Field Sieve, GNFS) superpolynomielle, aber subexponentielle Laufzeit G. Hartung Digitale Signaturen: Wiederholung

34 Strong-RSA-Annahme Strong-RSA-Problem: Geg. N geeignet und y Z N, finde x Z N und e N, e > 1 mit x e y mod N. Unterschied RSA-Problem: e hier vom Angreifer wählbar. RSA-Problem: e vorgegeben. Strong-RSA-Annahme: Strong-RSA-Problem schwer Bemerkung: Strong-RSA-Problem leichter als RSA-Problem Strong-RSA-Annahme deshalb stärker als RSA-Annahme G. Hartung Digitale Signaturen: Wiederholung

35 Genaro-Halevi-Rabin Signaturen (Kap ) Es sei h : {0, 1} P eine Hashfunktion (P = Primzahlen) Gen(1 k ) : erstelle N = P Q, P, Q prim und zufällig s Z N pk := (N, s, h) sk := ϕ(n) = (P 1)(Q 1) Sign(sk, m) : σ := s 1/h(m) mod N Vfy(pk, m, σ) : σ h(m)? s mod N Sicherheit: EUF-naCMA-sicher unter RSA-Annahme im Standardmodell Transformation mit GHR und RSA-Einmalsignatur EUF-CMA-sicher G. Hartung Digitale Signaturen: Wiederholung

36 Chamäleon-Signaturen: Motivation Händler Kunde Händler G. Hartung Digitale Signaturen: Wiederholung

37 Chamäleon-Signaturen: Motivation Angebot? Händler Kunde 100$, σ 1 Händler G. Hartung Digitale Signaturen: Wiederholung

38 Chamäleon-Signaturen: Motivation Angebot? Händler Kunde 100$, σ 1 100$, σ 1 99$, σ 2 Händler G. Hartung Digitale Signaturen: Wiederholung

39 Chamäleon-Signaturen: Motivation Angebot? Händler Kunde 100$, σ 1 100$, σ 1 99$, σ 2 Händler 2 Signaturen, die Dritte Parteien nicht überzeugen? G. Hartung Digitale Signaturen: Wiederholung

40 Chamäleon-Hashfunktionen (Definition) Def. (Chamäleon-Hashfunktion): Eine Chamäleon-Hashfunktion CH besteht aus zwei PPT-Algorithmen (Gen CH, TrapColl CH ): Gen CH (1 k ) : gibt (ch, τ) aus, wobei: ch ist eine Funktion ch : M R N τ eine Trapdoor ( Falltür ) ist. TrapColl CH (τ, m, r, m ) berechnet r R, sodass ch(m, r) = ch(m, r ) Wer τ kennt, kann Kollisionen berechnen Daher der Name Chamäleon -Hashfunktion Ausgabe wechselt ihr Urbild wechselt ihre Farbe G. Hartung Digitale Signaturen: Wiederholung

41 Chamäleon-Signaturen (Kap. 3.4) CH = (Gen CH, TrapColl CH ) CH-Fkt., ch : M R N Signatur Σ = (Gen, Sign, Vfy ) Konstruiere Chamäleon-Signatur Σ = (Gen, Sign, Vfy) Gen(1 k ) : (pk, sk ) Gen (1 k ) pk := pk, sk := sk Sign(sk, m, ch) : (ch ist CH-Fkt. des Empfängers) r R, ch(m, r) =: y σ := Sign (sk, y) σ := (σ, r) Vfy(pk, m, σ, ch) : Vfy (pk, ch(m, r), σ )? = G. Hartung Digitale Signaturen: Wiederholung

42 Chamäleon-Signaturen: Sicherheitsmodell (Skript) Falls A CH-Fkt. beim Signieren selbst wählen kann, könnte ihm das beim Fälschen einer Signatur helfen. Zwei Sicherheitsdefinitionen, mit und ohne Kontrolle über die CH-Funktion G. Hartung Digitale Signaturen: Wiederholung

43 Transformation CH zu Einmalsignatur Gen(1 k ) : (ch, τ) Gen ch (1 k ) ( m, r) M R c := ch( m, r) pk := (ch, c), sk := (τ, m, r) Sign(sk, m) : r := TrapColl CH (τ, m, r, m) σ := r Vfy(pk, m, σ) : c? = ch(m, σ) Theorem 47: Σ ist EUF-1-naCMA-sicher, wenn CH kollisionsresistent ist G. Hartung Digitale Signaturen: Wiederholung

44 Chamäleon-Hashfunktionen Konstruktionen von Chamäleon-Hashfunktionen: basierend auf RSA oder Dlog, analog zu Einmalsignaturverfahren Ergebnis der Transformation auf RSA-, Dlog-CH ergibt bekannte RSA-, Dlog-Einmalsignaturen G. Hartung Digitale Signaturen: Wiederholung

45 Transformationen: Übersicht (Skript) EUF-naCMA EUF-1-naCMA G. Hartung Digitale Signaturen: Wiederholung

46 Transformationen: Übersicht (Skript) EUF-naCMA EUF-1-naCMA EUF-CMA G. Hartung Digitale Signaturen: Wiederholung

47 Transformationen: Übersicht (Skript) CH EUF-naCMA EUF-1-naCMA EUF-CMA G. Hartung Digitale Signaturen: Wiederholung

48 Transformationen: Übersicht (Skript) CH EUF-naCMA EUF-1-naCMA EUF-CMA seuf-cma G. Hartung Digitale Signaturen: Wiederholung

49 Transformationen: Übersicht (Skript) dieses Jahr nicht besprochen SUF-naCMA EUF-naCMA EUF-1-naCMA CH EUF-CMA seuf-cma G. Hartung Digitale Signaturen: Wiederholung

50 Pairings Definition 78 (Pairings): Seien G 1, G 2, G T zyklische Gruppen mit Ordnung p prim. Ein Pairing (bilineare Abbildung) ist eine Abbildung e : G 1 G 2 G T mit den Eigenschaften: 1) Bilinearität: g 1, g 1 G 1, g 2, g 2 G 2 : e(g 1 g 1, g 2) = e(g 1, g 2 ) e(g 1, g 2) e(g 1, g 2 g 2 ) = e(g 1, g 2 ) e(g 1, g 2 ) e(g a 1, g 2) = e(g 1, g 2 ) a = e(g 1, g a 2 ) 2) Nicht-Degeneriertheit: g 1 G 1, g 2 G 2 Erzeuger = e(g 1, g 2 ) Erzeuger G T 3) Effiziente Berechenbarkeit G. Hartung Digitale Signaturen: Wiederholung

51 BLS-Signaturen Gen(1 k ) : sk := x Z p pk = (g, g x ) Sign(sk, m) : σ := H(m) x G Vfy(pk, m, σ) : e(h(m), g x )? = e(σ, g) Sicherheit: EUF-CMA-sicher unter CDH-Annahme im ROM Beweis analog zu RSA-FDH G. Hartung Digitale Signaturen: Wiederholung

52 Das Computational Diffie-Hellman Problem CDH-Problem: Sei g ein zufälliger Erzeuger und x, y Z p. Geg. (g, g x, g y ), berechne g xy. CDH-Annahme: CDH-Problem schwer Anm.: Annahme bezieht sich immer auf konkreten Gruppentyp, Gruppe abhängig von k G. Hartung Digitale Signaturen: Wiederholung

53 BLS-Signaturen: Eigenschaften Vorteile: einfach effiziente Algorithmen Kurze Signaturen EUF-CMA-sicher unter der CDH-Annahme Nachteile: Sicherheitsbeweis nur im Random Oracle Modell G. Hartung Digitale Signaturen: Wiederholung

54 BLS-Signaturen: Eigenschaften Vorteile: einfach effiziente Algorithmen Kurze Signaturen EUF-CMA-sicher unter der CDH-Annahme Aggregierbar und Batch-Verifizierbar Nachteile: Sicherheitsbeweis nur im Random Oracle Modell G. Hartung Digitale Signaturen: Wiederholung

55 Waters-Signaturen Gen(1 k ): wähle g α G, κ Gen PHF (g). Setze sk = g α, pk = (g, κ, e(g, g α )). Sign(sk, m): wähle r Z p. Berechne Setze σ = (σ 1, σ 2 ). Vfy(pk, m, σ): Prüfe ob σ 1 := g r σ 2 := g α H κ (m) r. e(g, σ 2 )? = e(g, g) α e(σ 1, H κ (m)) Sicherheit: EUF-CMA-sicher unter CDH-Annahme im Standardmodell zentrales Werkzeug: Programmierbare Hashfunktionen (PHF) G. Hartung Digitale Signaturen: Wiederholung

56 Programmierbare Hashfunktionen Intuition: Hashfunktion H κ : {0, 1} l G Zusatzinformation mit Trapdoor: Zerlegung (a, b) von H κ (m). h a g b = H κ (m) Wenn (κ, τ) TrapGen(g, h) ist für alle m 1,..., m v, m 1,..., m w a i = 0 für alle m i a j = 0 für alle m j, mindestens mit Wahrscheinlichkeit γ. (Wohlverteilung) κ hat bei Erstellung mit und ohne Trapdoor die selbe Verteilung G. Hartung Digitale Signaturen: Wiederholung

57 Inhalt Organisatorisches Wiederholung Signaturverfahren Sicherheitsbegriffe Einmal-Signaturen RSA-Signaturen Chamäleon-Hashfunktionen Pairing-basierte Signaturen Socrative: Space Race G. Hartung Digitale Signaturen: Wiederholung

58 Socrative: Space Race Image: CC-BY-2.0 by Robert Scoble via Wikipedia G. Hartung Digitale Signaturen: Wiederholung

59 Socrative: Space Race Room: SIGNATUREN G. Hartung Digitale Signaturen: Wiederholung

60 Ende Vielen Dank für eure Aufmerksamkeit. Viel Erfolg für die Prüfung! FIN G. Hartung Digitale Signaturen: Wiederholung

61 References I M. Bellare und P. Rogaway. The Exact Security of Digital Signatures-How to Sign with RSA and Rabin. In: Advances in Cryptology EUROCRYPT 96: International Conference on the Theory and Application of Cryptographic Techniques Saragossa, Spain, May 12 16, 1996 Proceedings. Hrsg. von U. Maurer. Berlin, Heidelberg: Springer Berlin Heidelberg, 1996, S DOI: / _34. URL: G. Hartung Digitale Signaturen: Wiederholung