Vorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom

Transkript

1 Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Dozenten: Björn Kaidel Vorlesung Digitale Signaturen im Wintersemester 2017/-18 Socrative-Fragen aus der Vorlesung vom Quiz 1: Wiederholung 1. Eine Gruppe ist ein Tupel (G, ) aus einer Menge G und einer Verknüpfung, mit den folgenden Eigenschaften: (A) G ist unter abgeschlossen, ist kommutativ, jedes Element in G besitzt ein inverses Element (B) G ist unter abgeschlossen, ist assoziativ, G enthält ein bezüglich neutrales Element, jedes Element in G besitzt ein inverses Element (C) ist assoziativ und kommutativ, G enthält ein bezüglich * neutrales Element Erklärung: Die folgenden Formeln geben die Definitionen der Eigenschaften an: Abgeschlossenheit g, h G : g h G Assoziativität g, h, i G : (g h) i = g (h i) Kommutativität g, h G : g h = h g Neutrales Element e G : g G : e g = g = g e Inverse Elemente g G : h G : g h = e = h g Alle Eigenschaften außer die Kommutativität (d.h. es gibt kommutative und nicht kommutative Gruppen) müssen erfüllt sein, damit G mit der Verknüpfung eine Gruppe ist. 2. Die Dlog-Annahme besagt, dass es in jeder endlichen, zyklischen Gruppe (G, ) schwierig ist, gegeben G, einen Erzeuger g und ein Element y = g x den Exponent x zu bestimmen. Anmerkung: Es gibt Gruppen, in denen die Dlog-Annahme leicht ist, z.b. (Z n, +), wobei n N. Streng genommen muss man bei der Dlog-Annahme stets dazu sagen, auf welche Art von Gruppen man sich bezieht. 1

2 3. Beim Dlog-Einmalsignaturverfahren besteht der öffentliche Schlüssel pk aus einem Erzeuger g, h = g x und c = g ω. Eine Signatur σ wird anhand der Gleichung c = g m h σ überprüft. Wie wird die Signatur σ berechnet? (A) σ = x ω m (B) σ = (ω m)/x (C) σ = x m + h g (D) σ = h m g ω (E) σ = (g ω h)/m Anmerkung: Diese Frage zielte darauf ab zu zeigen, dass man (selbst wenn man die Antwort nicht weiß) sich die Lösung selbst erschließen kann. Jedes Einmalsignaturverfahren muss die Korrektheitseigenschaft erfüllen. Lösung B führt dazu, dass diese tatsächlich erfüllt ist, die anderen Lösungen jedoch nicht. Deshalb kann man die anderen Lösungen ausschließen, es verbleibt Lösung B. 4. Die RSA-Annahme besagt, dass die Funktion f(x) := x e mod N eine Einwegfunktion ist. 5. Beim RSA-Einmalsignaturverfahren besteht der öffentliche Schlüssel aus N, e, J und c. Der geheime Schlüssel ist d. Eine Signatur σ zu einer Nachricht m wird mittels der Vorschrift σ := (c/j m ) d mod N berechnet. Welche der folgenden Gleichungen wird zum Verifizieren benutzt? (A) N e c s (mod J) (B) c σ (J m ) e (mod N) (C) σ J e m c (mod N) (D) c J m σ e (mod N) Korrekte Antwort: D Anmerkung: In dieser Frage kann man (wie in Frage 3) die Lösung im Ausschlussverfahren finden, wenn man die Antwort nicht weiß. 2 Quiz 2: Beweis der Transformation, Erster Teil, Allgemeines 1. Im Sicherheitbeweis für das in der Vorlesung konstruierte digitale Signaturverfahren Σ nehmen wir an, dass Σ nicht EUF-CMA-sicher sei, und müssen zeigen, dass... 2

3 (A) das Einmalsignaturverfahren Σ (1) nicht EUF-1-naCMA-sicher ist und das Mehrfach-Signaturverfahren Σ nicht EUF-naCMA-sicher ist. (B) das Einmalsignaturverfahren Σ (1) nicht EUF-1-naCMA-sicher ist oder das Mehrfach-Signaturverfahren Σ nicht EUF-naCMA-sicher ist. (C) ɛ B + ɛ C > ɛ A gilt. 2. Im Beweis nutzen wir aus, dass... (mehrere Antworten möglich) (A) Pr[A gewinnt das EUF-CMA-Spiel i {1,..., q} : pk = pk i ] + Pr[A gewinnt das EUF-CMA-Spiel i {1,..., q} : pk = pk i ] >= ɛ A gilt. (B) Pr[A gewinnt das EUF-CMA-Spiel i {1,..., q} : pk = pk i ] nicht vernachlässigbar ist. (C) Pr[A gewinnt das EUF-CMA-Spiel] nicht vernachlässigbar ist. (D) ɛ B ɛ C vernachlässigbar ist. (E) falls Pr[A gewinnt das EUF-CMA-Spiel i {1,..., q} : pk = pk i ] nicht vernachlässigbar ist, man i mit Wahrscheinlichkeit 1/q raten kann. Korrekte Antwort: A, C und E 3. Bei der Reduktion auf die EUF-1-naCMA-Sicherheit von Σ (1) hoffen wir darauf, dass der EUF-CMA-Angreifer A einen Einmalsignaturen-PK aus seinen Signaturanfragen wiederverwendet. 4. Damit eine (Einmal-)Signatur EUF-CMA/EUF-1-CMA/EUF-naCMA bzw. EUF-1-naCMA-sicher sein kann, muss ihr Sign-Algorithmus randomisiert sein, d.h. er darf keine deterministische Ausgabe haben. Erklärung: Dies kann man leicht widerlegen: Der Sign-Algorithmus des Lamport-Verfahrens ist nicht randomisiert. Gleichzeitig ist das Lamport- Verfahren EUF-1-naCMA-sicher, wenn die verwendete Funktion f eine Einwegfunktion ist. Außerdem gilt: Wenn ein UUF-NMA-sicheres digitales Signaturverfahren existiert, dann existiert auch eine Einwegfunktion f. Mit dieser Einwegfunktion kann man dann das Lamport-Signaturverfahren instantiieren. Wenn es überhaupt sichere Signaturverfahren gibt, dann also auch solche mit deterministischem Sign-Algorithmus. 3

4 3 Quiz 3: Beweis der Transformation, Zweiter Teil, Wiederholung 1. In der Reduktion auf die EUF-naCMA-Sicherheit müssen wir für A das EUF-CMA-Spiel simulieren. Dazu müssen wir insbesondere seine adaptiven Signaturanfragen beantworten, obwohl uns zur Simulation nur eine einzige nicht-adaptive Signaturanfrage zur Verfügung steht. Wie können wir seine adaptiven Anfragen dennoch beantworten? (A) Wir raten auf geschickte Art und Weise zu Beginn eine Menge von Nachrichten und lassen diese signieren. Dann zeigen wir, dass die Wahrscheinlichkeit, dass wir alle Nachrichten von A erraten haben nicht vernachlässigbar ist. (B) Wir erstellen zu Beginn genug Einmalsignatur-PKs (mit ihren zugehörigen SKs) und lassen diese in der nicht-adaptiven EUF-naCMA- Anfrage signieren. Die Anfragen von A können wir dann mithilfe dieser Signaturen und den SKs beantworten. (C) Wir betrachten den Code von A und können daraus ableiten, welche Nachrichten er signiert haben möchte. Erklärung: A funktioniert nicht, da wir nicht vorhersehen können, welche Signaturanfragen der Angreifer schicken wird. C funktioniert aus zwei Gründen nicht: Der erste Grund ist, dass der Angreifer ein PPT- Algorithmus ist und damit Zufall verwenden darf. Wir können aber nicht deterministisch vorhersagen, wie seine Zufallsentscheidungen aussehen werden. Zusätzlich wäre der Beweis dann kein generischer Black Box -Beweis mehr. Man spricht von Black Box -Beweisen, wenn man über den Angreifer nichts anderes wissen muss, als das er nicht vernachlässigbare Erfolgswahrscheinlichkeit hat - hier müssten wir nun aber auch seinen Code kennen. (Achtung: Diese Erklärung ist sehr oberflächlich, dass Thema führt für diese Vorlesung aber auch zu weit) 2. Wenn bei der DLog-Einmalsignatur zwei Signaturen für verschiedene Nachrichten m 1 und m 2 erstellt werden, kann ein Angreifer (der beide Signaturen kennt) eine Signatur für m 1 m 2, aber sonst keine andere, fälschen. 3. Wenn bei der RSA-Einmalsignatur zwei Signaturen für verschiedene Nachrichten m 1 und m 2 erstellt werden, kann ein Angreifer (der beide Signaturen kennt) Signaturen für beliebige Nachrichten fälschen. 4

5 5