Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Transkript

1 Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft

2 Socrative: Wiederholung B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen Room: SIGNATUREN Eigenschaften von Chamäleon-Hashfkt.? Wie werden Chamäleon-Hashfkt. ausgewertet? Ist die Def. von Kollisionsresistenz von CH-Fkt. identisch zur üblichen Def.? Signaturen können weitergeben werden - ist das problematisch?

3 Evaluation Siehe Evaluations-PDF! B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

4 Socrative-Fragen vom letzten Mal Reicht die Zahlentheorie aus VL/Skript für die Prüfung? Man sollte in der Lage sein, die besprochenen Verfahren (mit Beweis!) zu verstehen und erklären zu können Die dafür nötige Mathematik sollte man verstehen Werden CH-Fkt. in der Praxis angewandt? B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

5 Inhalt Chamäleon-Signaturen (Kap. 3.4) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

6 Chamäleon-Signaturen: Motivation (Kap. 3.1) (Wdh) Angebot? Händler Kunde 100$, σ 1 100$, σ 1 99$, σ 2 Händler B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

7 Chamäleon-Signaturen: Ziel (Wdh) Frage: Können wir ein Signaturverfahren konstruieren, sodass K die Authentizität des Angebots von H 1 verifizieren kann... K den Händler H 2 nicht davon überzeugen kann, dass das Angebot von H 1 kam. (Man spricht bei Verfahren mit solchen Eigenschaften von Abstreitbarkeit) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

8 Chamäleon-Hashfunktionen (Definition) (Kap. 3.2) (Wdh) Def. (Chamäleon-Hashfunktion): Eine Chamäleon-Hashfunktion CH besteht aus zwei PPT-Algorithmen (Gen CH, TrapColl CH ): Gen CH (1 k ) : gibt (ch, τ) aus, wobei: ch ist eine Funktion ch : M R N M Nachrichtenraum R Zufallsraum N Zielraum M, R, N abhängig von konkreter CH! τ eine Trapdoor ( Falltür ) ist B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

9 Chamäleon-Hashfunktionen (Definition - II) (Wdh) TrapColl CH (τ, m, r, m ) für (m, r, m ) M R M berechnet r R, sodass ch(m, r) = ch(m, r ) Wer τ kennt, kann Kollisionen berechnen Daher der Name Chamäleon -Hashfunktion Ausgabe wechselt ihr Urbild wechselt ihre Farbe B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

10 Chamäleon-Hashfunktion von DLog (Wdh) Kollisionsresistente CH-Fkt. von DLog: ch = (g, h = g x ), τ = x ch(m, r) = g m h r B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

11 Chamäleon-Hashfunktion von DLog (Wdh) Kollisionsresistente CH-Fkt. von DLog: ch = (g, h = g x ), τ = x ch(m, r) = g m h r Kollisionen berechnen durch Lösen nach r : m + x r = m + x r mod p r = m m x + r mod p B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

12 Chamäleon-Hashfunktion von DLog (Wdh) Kollisionsresistente CH-Fkt. von DLog: ch = (g, h = g x ), τ = x ch(m, r) = g m h r Kollisionen berechnen durch Lösen nach r : m + x r = m + x r mod p r = m m x + r mod p (Es gibt auch eine CH-Fkt. basierend auf dem RSA-Problem) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

13 Kollisionsresistenz (Wdh) Def. 39 (Kollisionsresistenz für Chamäleon-Hashfkt.): Eine Chamäelon-Hashfunktion CH = (Gen CH, TrapColl CH ) ist kollisionsresistent, falls für alle PPT A gilt, dass [ (ch, τ) GenCH (1 Pr k ) A(1 k, ch) = (m, r, m, r ) : ch(m, r) = ch(m, r ] ) (m, r) = (m, r negl(k) ) für eine im Sicherheitsparameter k vernachlässigbare Funktion negl B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

14 Chamäleon-Signaturen (Kap. 3.4) CH = (Gen CH, TrapColl CH ) CH-Fkt., ch : M R N Signatur Σ = (Gen, Sign, Vfy ) Konstruiere Chamäleon-Signatur Σ = (Gen, Sign, Vfy) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

15 Chamäleon-Signaturen (Kap. 3.4) CH = (Gen CH, TrapColl CH ) CH-Fkt., ch : M R N Signatur Σ = (Gen, Sign, Vfy ) Konstruiere Chamäleon-Signatur Σ = (Gen, Sign, Vfy) Gen(1 k ) : (pk, sk ) Gen (1 k ) pk := pk, sk := sk B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

16 Chamäleon-Signaturen (Kap. 3.4) Sign(sk, m, ch) : (ch ist CH-Fkt. des Empfängers) r R, ch(m, r) =: y σ := Sign (sk, y) σ := (σ, r) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

17 Chamäleon-Signaturen (Kap. 3.4) Sign(sk, m, ch) : (ch ist CH-Fkt. des Empfängers) r R, ch(m, r) =: y σ := Sign (sk, y) σ := (σ, r) Vfy(pk, m, σ, ch) : Vfy (pk, ch(m, r), σ )? = B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

18 EUF-CMA für Chamäleon-Signaturen C EUF-CMA A B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

19 EUF-CMA für Chamäleon-Signaturen C EUF-CMA (pk, sk) Gen(1 k ) (ch, τ) Gen CH (1 k ) pk, ch A B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

20 EUF-CMA für Chamäleon-Signaturen C EUF-CMA (pk, sk) Gen(1 k ) (ch, τ) Gen CH (1 k ) σ i Sign(sk, m i, ch) pk, ch m i σ i A Anfragen nacheinander q = q(k) Anfragen q Polynom B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

21 EUF-CMA für Chamäleon-Signaturen C EUF-CMA (pk, sk) Gen(1 k ) (ch, τ) Gen CH (1 k ) σ i Sign(sk, m i, ch) pk, ch m i σ i A Anfragen nacheinander q = q(k) Anfragen q Polynom m, σ Vfy(pk, m, σ, ch) = 1? m / {m 1,..., m q }? B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

22 EUF-CMA für Chamäleon-Signaturen C EUF-CMA (pk, sk) Gen(1 k ) (ch, τ) Gen CH (1 k ) σ i Sign(sk, m i, ch) pk, ch m i σ i A Anfragen nacheinander q = q(k) Anfragen q Polynom m, σ Vfy(pk, m, σ, ch) = 1? m / {m 1,..., m q }? A gewinnt, falls Vfy(pk, m, σ, ch) = 1 und m / {m 1,..., m q } B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

23 EUF-CMA für Chamäleon-Signaturen C EUF-CMA (pk, sk) Gen(1 k ) (ch, τ) Gen CH (1 k ) σ i Sign(sk, m i, ch) pk, ch m i σ i A Anfragen nacheinander q = q(k) Anfragen q Polynom m, σ Vfy(pk, m, σ, ch) = 1? m / {m 1,..., m q }? A gewinnt, falls Vfy(pk, m, σ, ch) = 1 und m / {m 1,..., m q } Frage: Ist dieses Sicherheitsmodell stark genug? B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

24 CH-Sig: Sicherheitsmodell (Skript) Frage: Ist dieses Sicherheitsmodell stark genug? B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

25 CH-Sig: Sicherheitsmodell (Skript) Frage: Ist dieses Sicherheitsmodell stark genug? Antwort: Nein! Angreifer hat beim Signieren keine Kontrolle über die Chamäleon-Hashfunktion. Dies kann ihm aber evtl. beim Fälschen helfen! Echter Angreifer könnten eigene CH-Fkt. erstellen & verwenden B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

26 Angriff bei DLog-CH-Fkt. (Skript) Angenommen, A könnte CH-Fkt. beim Signieren selbst wählen: Es wird die DLog-CH-Fkt. verwendet. A erhält ch = (g, h) vom Challenger B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

27 Angriff bei DLog-CH-Fkt. (Skript) Angenommen, A könnte CH-Fkt. beim Signieren selbst wählen: Es wird die DLog-CH-Fkt. verwendet. A erhält ch = (g, h) vom Challenger. A generiert ch A = (g a, h), a = 1 selbst gewählt Dies ist eine gültige CH-Fkt.! A lässt m mit ch A signieren und erhält Signatur σ = (σ, r) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

28 Angriff bei DLog-CH-Fkt. (Skript) Dann gilt: 1 = Vfy(pk, m, σ = (σ, r), ch A ) = Vfy (pk, ch A (m, r), σ ) = Vfy (pk, ch(a m, r), σ ) = Vfy(pk, a m, σ, ch) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

29 Angriff bei DLog-CH-Fkt. (Skript) Dann gilt: 1 = Vfy(pk, m, σ = (σ, r), ch A ) = Vfy (pk, ch A (m, r), σ ) = Vfy (pk, ch(a m, r), σ ) = Vfy(pk, a m, σ, ch) Da a = 1 gilt auch m = a m. Somit ist (a m, σ) eine gültige Fälschung bzgl. ch! Anm.: Bei der RSA-CH-Fkt. ist ein ähnlicher Angriff möglich B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

30 EUF-CMA für Chamäleon-Signaturen 2 (Skript) C EUF-CMA (pk, sk) Gen(1 k ) (ch, τ) Gen CH (1 k ) σ i Sign(sk, m i, ch) EUF-CMA Variante 1 A pk, ch m i σ i Anfragen nacheinander q = q(k) Anfragen q Polynom m, σ Vfy(pk, m, σ, ch) = 1? m / {m 1,..., m q }? A gewinnt, falls Vfy(pk, m, σ, ch) = 1 und m / {m 1,..., m q } B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

31 EUF-CMA für Chamäleon-Signaturen 2 (Skript) C EUF-CMA (pk, sk) Gen(1 k ) (ch, τ) Gen CH (1 k ) σ i Sign(sk, m i, ch i ) EUF-CMA Variante 2 A pk, ch m i, ch i σ i Anfragen nacheinander q = q(k) Anfragen q Polynom m, σ Vfy(pk, m, σ, ch) = 1? m / {m 1,..., m q }? A gewinnt, falls Vfy(pk, m, σ, ch) = 1 und m / {m 1,..., m q } B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

32 EUF-CMA Im Folgenden beschränken wir uns auf Variante 1! Variante 2 auch erreichbar, ist aber etwas schwieriger B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

33 CH-Sig: Sicherheit Theorem 45: Für jeden PPT-Angreifer A(pk, ch), der die EUF-CMA-Sicherheit von Σ bricht in Zeit t A mit Erfolgswahrscheinlichkeit ɛ A, existiert ein PPT-Angreifer B, der in Zeit t B t A läuft und entweder die Kollisionsresistenz von ch bricht mit Wkt. ɛ ch ɛ A 2, oder die EUF-naCMA-Sicherheit von Σ bricht mit Wkt. ɛ ɛ A B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

34 Chamäleon-Signaturen: Beweis EUF-CMA: Seien m 1,..., m q die Anfragen, σ i = (σ i, r i) die Antworten und (m, σ = (σ, r )) die Ausgabe von A B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

35 Chamäleon-Signaturen: Beweis EUF-CMA: Seien m 1,..., m q die Anfragen, σ i = (σ i, r i) die Antworten und (m, σ = (σ, r )) die Ausgabe von A. Zwei Ereignisse: E 0 : Es existiert i mit ch(m i, r i ) = ch(m, r ). E 1 : Für alle i {1,..., q} gilt ch(m i, r i ) = ch(m, r ) B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

36 Chamäleon-Signaturen: Beweis EUF-CMA: Seien m 1,..., m q die Anfragen, σ i = (σ i, r i) die Antworten und (m, σ = (σ, r )) die Ausgabe von A. Zwei Ereignisse: E 0 : Es existiert i mit ch(m i, r i ) = ch(m, r ). E 1 : Für alle i {1,..., q} gilt ch(m i, r i ) = ch(m, r ). A ruft E 0 oder E 1 hervor, also gilt ɛ A Pr[E 0 ] + Pr[E 1 ] Pr[E 0 ] ɛ A /2 oder Pr[E 1 ] ɛ A / B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

37 Chamäleon-Signaturen: Beweis E 0 : Reduktion auf Kollisionsresistenz von CH Standard, Vorgehen wie immer E 1 : Reduktion auf EUF-naCMA-Sicherheit von Σ Details: siehe Tafel B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

38 Socrative: Chamäleon-Signaturen B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen Room: SIGNATUREN Warum sind Chamäleon-Signaturen abstreitbar? Warum ist der Empfänger von einer CH-Sig. überzeugt? Welche Sicherheitseigenschaft hat die CH-Sig.? Wie werden im Beweis die adaptiven Anfragen von A auf eine einzige nicht-adaptive Anfrage übersetzt?