Asymmetrische Verschlüsselungsverfahren

Transkript

1 Asymmetrische Verschlüsselungsverfahren Einmalsignaturen Björn Kaidel (Vertretung für Prof. Müller-Quade) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft

2 Hinweis: Folien Folien stammen zum Großteil aus VL Digitale Signaturen Kapitelnummern usw. beziehen sich auf Skript dieser Vorlesung B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

3 Inhalt Einmalsignaturen (Kap. 2) Einmalsignaturen aus Einwegfkt. (Kap 2.2) B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

4 Einmalsignaturen Generelles Ziel: Signaturen, die viele Nachrichten signieren können. Vorstufe: Signaturen, die nur eine Nachricht sicher signieren können. Genannt Einmalsignaturen B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

5 Einmalsignaturen Generelles Ziel: Signaturen, die viele Nachrichten signieren können. Vorstufe: Signaturen, die nur eine Nachricht sicher signieren können. Genannt Einmalsignaturen. Achtung: Können auch mehrmals verwendet werden werden dann aber evtl. unsicher! Also: Keine Sicherheitssaussage mehr bei mehrfacher Verwendung B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

6 EUF-1-CMA C EUF-1-CMA pk A m σ m, σ Vfy(pk, m, σ ) = 1 m = m? Rest (Def., Gewinnbedingung etc.): Analog zu normaler EUF-CMA-Def B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

7 Warum Einmalsignaturen? Hilfreicher Baustein für stärkere Verfahren. Einfach(er) zu konstruieren. Generisch auf Mehrmal -Signaturen erweiterbar B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

8 Einwegfunktionen Einwegfunktion f : {0, 1} {0, 1} Idee: Geg. x {0, 1} ist f (x) leicht/effizient berechenbar. Geg. y = f (x) ist es schwer f 1 (y) zu berechnen. Anm: Einwegfunktion sind ein grundlegender Krypto-Baustein! B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

9 Einwegfunktionen-Sicherheitsexperiment C Einweg A B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

10 Einwegfunktionen-Sicherheitsexperiment x {0, 1} k y := f (x) C Einweg y A B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

11 Einwegfunktionen-Sicherheitsexperiment x {0, 1} k y := f (x) C Einweg y A x f (x ) = y? A gewinnt, falls f (x ) = y B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

12 Einwegfunktionen-Sicherheitsexperiment x {0, 1} k y := f (x) C Einweg y A x f (x ) = y? A gewinnt, falls f (x ) = y. Anm: Es muss nicht x = x gelten! B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

13 Einwegfunktion (Definition) Def. 22 (Einwegfunktion): Eine Funktion f ist eine Einwegfunktion, wenn f in Polynomialzeit berechenbar ist und für alle PPT A gilt, dass Pr[A(1 k, y := f (x)) = x : x {0, 1} k, f (x ) = y] negl(k) für eine in k vernachlässigbare Funktion negl B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

14 Einwegfunktionen: Kandidaten Existenz von Einwegfkt. impliziert P = N P. Existenz daher unklar B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

15 Einwegfunktionen: Kandidaten Existenz von Einwegfkt. impliziert P = N P. Existenz daher unklar. Kandidaten: kryptographische Hashfunktionen diskrete Exponentialfunktion x g x g Erzeuger von zyklischer Gruppe G RSA-Funktion x x e mod N für geeignete (e, N) B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

16 Lamports Einmalsignaturverfahren (Kap ) Σ = (Gen, Sign, Vfy) Nachrichtenraum {0, 1} n, n = n(k) Benötigt Einwegfunktion f B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

17 Lamports Einmalsignaturverfahren (Kap ) Σ = (Gen, Sign, Vfy) Nachrichtenraum {0, 1} n, n = n(k) Benötigt Einwegfunktion f Gen(1 k ) : Wähle x 1,0, x 1,1,..., x n,0, x n,1 zufällig aus {0, 1} k j {1,..., n} : y j,0 := f (x j,0 ) und y j,1 := f (x j,1 ) B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

18 Lamports Einmalsignaturverfahren (Kap ) Σ = (Gen, Sign, Vfy) Nachrichtenraum {0, 1} n, n = n(k) Benötigt Einwegfunktion f Gen(1 k ) : Wähle x 1,0, x 1,1,..., x n,0, x n,1 zufällig aus {0, 1} k j {1,..., n} : y j,0 := f (x j,0 ) und y j,1 := f (x j,1 ) ( ) x1,0... x sk = n,0 x 1,1... x n,1 ( ) y1,0... y pk = n,0 y 1,1... y n, B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

19 Lamports Einmalsignaturverfahren (2) ( ) x1,0... x sk = n,0 x 1,1... x n,1 ( ) y1,0... y pk = n,0 y 1,1... y n, B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

20 Lamports Einmalsignaturverfahren (2) ( ) x1,0... x sk = n,0 x 1,1... x n,1 Sign(sk, m) : m = m 1 m 2... m n {0, 1} n σ = (x 1,m1, x 2,m2,..., x n,mn ) ( ) y1,0... y pk = n,0 y 1,1... y n, B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

21 Lamports Einmalsignaturverfahren (2) ( ) x1,0... x sk = n,0 x 1,1... x n,1 Sign(sk, m) : m = m 1 m 2... m n {0, 1} n σ = (x 1,m1, x 2,m2,..., x n,mn ) ( ) y1,0... y pk = n,0 y 1,1... y n,1 Vfy(pk, m, σ) : m = m 1... m n, σ = (x 1, x 2,..., x n) Überprüfe für alle i {1,..., n}, ob gilt: f (x i ) = y i,m i? B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

22 Lamports Einmalsignaturverfahren (2) ( ) x1,0... x sk = n,0 x 1,1... x n,1 Sign(sk, m) : m = m 1 m 2... m n {0, 1} n σ = (x 1,m1, x 2,m2,..., x n,mn ) ( ) y1,0... y pk = n,0 y 1,1... y n,1 Vfy(pk, m, σ) : m = m 1... m n, σ = (x 1, x 2,..., x n) Überprüfe für alle i {1,..., n}, ob gilt: f (x i ) = y i,m i? Correctness: Klar. Beispiel: Tafel B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

23 Lamport: Sicherheit Theorem 23: Für jeden EUF-1-CMA PPT-Angreifer A mit Laufzeit t A und Erfolgswkt. ɛ A existiert ein PPT- Angreifer B, der f invertiert, in Zeit t B t A mit Erfolgswkt. ɛ B ɛ A /2n B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

24 Lamport: Sicherheit Theorem 23: Für jeden EUF-1-CMA PPT-Angreifer A mit Laufzeit t A und Erfolgswkt. ɛ A existiert ein PPT- Angreifer B, der f invertiert, in Zeit t B t A mit Erfolgswkt. ɛ B ɛ A /2n. Beweis: Reduktion: EUF-1-CMA-Sicherheit auf Einwegeigenschaft von f. Simulation: B simuliert EUF-1-CMA-Spiel für A. Extraktion: B verwendet Ausgabe von A, um zu gewinnen B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

25 Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-CMA C Einweg B A B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

26 Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-CMA C Einweg B A x {0, 1} k y := f (x) y B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

27 Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-CMA C Einweg B A x {0, 1} k y := f (x) y Berechne pk, sk geeignet pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

28 Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-CMA C Einweg B A x {0, 1} k y := f (x) y Berechne pk, sk geeignet pk 1 m = m 1... m n σ B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

29 Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-CMA C Einweg B A x {0, 1} k y := f (x) y Berechne pk, sk geeignet pk 1 x m = m 1... m n σ m, σ = Simulation, 3 = Extraktion B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

30 Lamport: Sicherheitsbeweis (Zusammenfassung) Benutze A, um f 1 (x) zu berechnen, indem man f (x) in den Public Key einbettet, sodass: B die Nachricht m signieren kann (wähle Rest von pk selbst). A mit hoher Wkt. zum Fälschen f 1 (x) berechnen muss B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

31 Lamport: Zusammenfassung EUF-1-CMA-sicher Einfach & Elegant Benötigt nur Existenz von Einwegfunktionen (schwächste Krypto-Annahme!) Nicht sehr effizient Viele Auswertungen der Einwegfunktion Sehr große Schlüssel B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

32 Mehrmal-Signaturverfahren aus Einmalsignaturverfahren Bekannt: Einmalsignaturverfahren Σ (1) Vorteil: Effizient & einfach zu konstruieren Nachteil: Sicherheit nur bei einmaliger Anwendung B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

33 Mehrmal-Signaturverfahren aus Einmalsignaturverfahren Bekannt: Einmalsignaturverfahren Σ (1) Vorteil: Effizient & einfach zu konstruieren Nachteil: Sicherheit nur bei einmaliger Anwendung Gesucht: Mehrmal -Signaturen q-mal-signaturverfahren B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

34 Erster Ansatz Naives Vorgehen: benutze q Schlüsselpaare B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

35 Erster Ansatz Naives Vorgehen: benutze q Schlüsselpaare Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := (pk 1,..., pk q ) sk := (sk 1,..., sk q, st = 1) Achtung: zustandsbehaftet Hier: Zustand ist Zähler st {1,..., q} B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

36 Erster Ansatz Naives Vorgehen: benutze q Schlüsselpaare Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := (pk 1,..., pk q ) sk := (sk 1,..., sk q, st = 1) Achtung: zustandsbehaftet Hier: Zustand ist Zähler st {1,..., q} Sign(sk, m) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i) st := st B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

37 Erster Ansatz Naives Vorgehen: benutze q Schlüsselpaare Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := (pk 1,..., pk q ) sk := (sk 1,..., sk q, st = 1) Achtung: zustandsbehaftet Hier: Zustand ist Zähler st {1,..., q} Sign(sk, m) : Vfy(pk, m, σ = (σ i, i)) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i) st := st + 1 Vfy (1) (pk i, m, σ i )? = B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

38 Erster Ansatz Übung 34: Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist, dann ist das obige Verfahren EUF-q-CMA-sicher B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

39 Erster Ansatz Übung 34: Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist, dann ist das obige Verfahren EUF-q-CMA-sicher. Eigenschaften bezogen auf Signaturenanzahl: pk Ω(q) sk Ω(q) σ Θ(1) B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

40 Erster Ansatz Übung 34: Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist, dann ist das obige Verfahren EUF-q-CMA-sicher. Eigenschaften bezogen auf Signaturenanzahl: pk Ω(q) sk Ω(q) σ Θ(1) effizienter? B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

41 Zwischenschritt Gen(1 k ) : Sign(sk, m) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := (pk 1,..., pk q ) sk := (sk 1,..., sk q, st = 1) Vfy(pk, m, σ) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i) st := st + 1 Vfy (1) (pk i, m, σ i )? = B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

42 Zwischenschritt H Hashfunktion Gen(1 k ) : Sign(sk, m) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := (pk 1,..., pk q ) sk := (sk 1,..., sk q, st = 1) Vfy(pk, m, σ) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i) st := st + 1 Vfy (1) (pk i, m, σ i )? = B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

43 Zwischenschritt H Hashfunktion Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := H(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) Sign(sk, m) : Vfy(pk, m, σ) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i) st := st + 1 Vfy (1) (pk i, m, σ i )? = B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

44 Zwischenschritt H Hashfunktion Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := H(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) Sign(sk, m) : Vfy(pk, m, σ) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i, pk 1,..., pk q ) st := st + 1 Vfy (1) (pk i, m, σ i )? = B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

45 Zwischenschritt H Hashfunktion Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := H(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) Sign(sk, m) : Vfy(pk, m, σ) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i, pk 1,..., pk q ) st := st + 1 Vfy (1) (pk i, m, σ i )? = 1 und H(pk 1,..., pk q )? = pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

46 Zwischenschritt Übung (Bem. 35): Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-CMA-sicher B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

47 Zwischenschritt Übung (Bem. 35): Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-CMA-sicher. Eigenschaften bezogen auf Signaturenanzahl: pk O(1) sk Ω(q) σ Ω(q) jetzt: Einsparen bei der Signatur B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

48 Zwischenschritt Übung (Bem. 35): Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-CMA-sicher. Eigenschaften bezogen auf Signaturenanzahl: pk O(1) sk Ω(q) σ Ω(q) jetzt: Einsparen bei der Signatur Merkle-Bäume B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

49 Merkle-Bäume Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := Baum-Hash(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

50 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

51 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

52 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

53 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

54 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

55 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

56 Merkle-Bäume Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := Baum-Hash(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

57 Merkle-Bäume Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := Baum-Hash(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) Sign(sk, m) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i, pk i, Ko-Pfad) st := st B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

58 Ko-Pfad Definition Der Ko-Pfad eines Knotens v in einem Binärbaum mit Wurzel r ist die Folge aller Knoten u 1,..., u n, wobei u i der Geschwisterknoten des i-ten Knotens auf dem Pfad von v zu r ist B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

59 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

60 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

61 Merkle-Bäume Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := Baum-Hash(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) Sign(sk, m) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i, pk i, Ko-Pfad) st := st B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

62 Merkle-Bäume Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := Baum-Hash(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) Sign(sk, m) : Vfy(pk, m, σ) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i, pk i, Ko-Pfad) st := st + 1 berechne Wurzel h neu Vfy (1) (pk i, m, σ i )? = 1 und h? = pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

63 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

64 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

65 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

66 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

67 Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

68 Merkle-Bäume Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-CMA-sicher B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

69 Merkle-Bäume Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-CMA-sicher. Eigenschaften bezogen auf Signaturenanzahl: pk O(1) sk Ω(q) σ Ω(log q) B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen