Digitale Signaturen Einführung und das Schnorr Signaturschema

Transkript

1 Digitale Signaturen Einführung und das Schnorr Signaturschema Patrick Könemann Proseminar: Public-Key Kryptographie Prof. Dr. rer. nat. J. Blömer Universität Paderborn 27. Januar 2006 Abstract Verschlüsselungsverfahren werden meist dazu eingesetzt, um Nachrichten beim Senden durch einen unsicheren Kanal unkenntlich zu machen, d. h. die Vertraulichkeit der Daten sicherzustellen. Digitale Signaturen dagegen sollen die Datenintegrität und -authentität sicherstellen, indem der Absender sie wie im herkömmlichen Sinn mit einer Unterschrift versieht. Das Schnorr Signaturschema ist für den Einsatz von Smartcards entwickelt worden, da diese nur eine geringe Rechenleistung und ihre Kommunikation mit Terminals nur eine schmale Bandbreite zur Verfügung stellen. Basierend auf dem ElGamal Signaturschema bietet es ähnliche Sicherheitseigenschaften und erfüllt genau diese grade genannten Eigenschaften. Neben dem Prinzip der digitalen Signatur wird in diesem Paper das Schnorr Signaturschema vorgestellt und dessen Laufzeit und Sicherheit erläutert. 1

2 1 Einführung 1 Einführung Digitale Signaturen, auch elektronische Signaturen genannt, sollen die Echtheit von elektronischen Dokumenten oder Nachrichten sicherstellen und so die Manipulation von solchen bei der Übertragung durch einen unsicheren Kanal ausschließen. Im Rahmen des Proseminars Public-Key Kryptographie stellt dieses Paper zunächst allgemein das Prinzip der digitalen Signatur und anschließend das Schnorr Signaturschema als Abkömmling des ElGamal Signaturschemas vor. Das erste Kapitel dient der Einführung in das Thema und demonstriert die Funktionsweise der digitalen Signatur anhand eines einfachen Beispiels. Das darauf folgende Kapitel erläutert Hash- Funktionen und behandelt einige Grundlagen, die für das Schnorr Signaturschema notwendig sind. Kapitel Drei und Vier stellen kurz das ElGamal und ausführlicher das Schnorr Signaturschema vor. Neben der Laufzeit wird abschließend noch die Sicherheit des Schnorr Signaturschemas diskutiert. 1.1 Prinzip der digitalen Signatur Nehmen wir an, Bob möchte eine Nachricht m = Cryptography an Alice schicken und dabei sicherstellen, dass diese Nachricht auf keinen Fall in dem unsicheren Kanal, über den die Nachricht übermittelt wird, manipuliert wird (vgl. Abbildung 1). Hierzu wendet Bob als erstes eine Hash- Funktion auf die Nachricht an (1), um diese in ihrer Größe zu reduzieren. Im nächsten Schritt verschlüsselt er mit seinem privaten Schlüssel genau diesen Hashwert (2), und bekommt damit die Signatur für die Nachricht (Diese strenge Reihenfolge, dass die Nachricht zuerst gehasht wird, ist nicht immer der Fall, wie im Schnorr Signaturschema zu erkennen sein wird. Das Prinzip bleibt aber das gleiche.). Beides schickt er nun an Alice. Alice überprüft die Korrektheit der Signatur, indem sie ebenfalls zunächst den Hashwert der Signatur bestimmt und dann die Signatur mit dem öffentlichen Schlüssel von Bob entschlüsselt (3). Sofern diese entschlüsselte Signatur mit dem Hashwert übereinstimmt, ist die Nachricht korrekt, andernfalls ist entweder sie oder die Signatur fehlerhaft oder verfälscht worden. Abbildung 1: Das Prinzip der digitalen Signatur Das RSA-Signaturschema ist sehr ähnlich zum RSA Verschlüsselungsverfahren [Mo96]. Das folgende Beispiel illustriert den Einsatz eines solchen unter Benutzung der Werte p = 5, q = 11, N = p q = 55, φ(n) = 44, a = 7, b = a 1 = 23 mod φ(n) und einer geeigneten Hash-Funktion H für die Nachricht m = Cryptography. 2

3 2 Grundlagen 1. Bildung des Hashwertes der Nachricht (Wert hängt von der benutzen Hash-Funktion ab): x = H(m) Berechnung der Signatur: y = x a = mod N 3. Verifizierung der Signatur: Nachricht korrekt H(m)! = y b = mod N Da H(m) = 33 gilt, ist die Verifizierung erfolgreich. 1.2 Formale Definition eines Signaturschemas Ein Signaturschema ist ein 5-Tupel (P, A, K, S, V). P ist eine endliche Menge von Nachrichten. A ist eine endliche Menge von Signaturen. K ist eine endliche Schlüsselmenge. S ist eine Menge von Signierfunktionen, sodass es für alle k K ein sign k S gibt mit: sign k : P A V ist eine Menge von Verifikationsfunktionen, sodass es für alle k K ein verify k V gibt mit: verify k : P A {true, false} Satz 1 Für alle Nachrichten m P und einem beliebigen k K muss gelten: verify k (m, y) = {y = sign k (m)} Satz 1 stellt sicher, dass ein Signaturschema eine Signatur korrekt verifiziert. Ein 2-Tupel (m, y) mit m P und y A heißt signierte Nachricht mit Anhang. Alternativ gibt es auch Signaturen mit Nachrichtenwiederherstellung. Bei denen wird jedoch nur die Signatur übertragen, da sich die Nachricht aus dieser wiederherstellen lässt. 2 Grundlagen In diesem Kapitel werden die für Signaturen wichtigen Hashfunktionen sowie einige für das Schnorr Signaturschema relevante mathematische Grundlagen vorgestellt. 2.1 Hash-Funktionen Eine Signatur besitzt i. d. R. nur den Bruchteil der Größe der zu signierenden Nachricht. Um für eine Nachricht eine Signatur zu erstellen, werden kryptografische Hash-Funktionen benötigt, welche einen gegenüber der Nachricht sehr kurzen Repräsentanten erstellen. Die gängige Definition einer Hash-Funktion sieht wie folgt aus: H : {0, 1} {0, 1} t mit t N Dabei stellt t die Bitgröße des Ergebnisses dar. Im Falle von SHA-1 1 gilt t = 160, für MD5 2 gilt t = Secure Hash Algorithm, z. B. genutzt vom DSA (Digital Signature Algorithm) 2 Message-Digest Algorithm, oft auch zur Prüfung von Datenintegritäten genutzt 3

4 2 Grundlagen Sicherheit von Hash-Funktionen Eine Hash-Funktion gilt als sicher, sofern die Probleme Collision, Preimage und Second Preimage genügend schwer zu lösen sind. Problem 1 Collision: Gegeben: Eine Hash-Funktion H : {0, 1} {0, 1} t. Gesucht: m, m {0, 1} mit m m, sodass gilt: H(m) = H(m ) Problem 2 Preimage: Gegeben: Eine Hash-Funktion H : {0, 1} {0, 1} t und ein h {0, 1} t. Gesucht: Ein m {0, 1}, sodass gilt: H(m) = h Problem 3 Second Preimage: Gegeben: Eine Hash- Funktion H : {0, 1} {0, 1} t und ein m {0, 1}. Gesucht: Ein m {0, 1} mit m m, sodass gilt: H(m ) = H(m) Eine Hash-Funktion kann laut Definition beliebig viele Eingaben bekommen aber nur eine begrenzte Anzahl an Ausgaben produzieren (2 t viele). Deswegen können Kollisionen nie vermieden werden. Eine Hash-Funktion ist demnach kollisionsrestistent, sofern eine Kollision (Problem 1) nur mit übermäßig viel Rechenzeit und/oder Rechenleistung berechnet werden kann. Analog gilt dies für die Berechnung eines (zweiten) Urbilds (Probleme 2 und 3). Satz 2 Das Second Preimage-Problem ist schwerer als das Collision-Problem. Beweis: Das Collision-Problem lässt sich auf das Second Preimage-Problem reduzieren. Denn wenn ein zweites Urbild zu einem gegebenen Urbild berechnet werden kann, ist dies schon eine Kollision. Satz 3 Das Second Preimage-Problem ist schwerer als das Preimage-Problem. Beweis: Das Preimage-Problem lässt sich auf das Second Preimage-Problem reduzieren. Denn wenn ein zweites Urbild zu einem gegebenen Urbild berechnet werden kann, ist dies auch schon schon die Berechnung eines Urbilds des Hashwertes. Es kann allerdings keine Aussage darüber getroffen werden, ob das Preimage-Problem schwerer ist als das Collision-Problem. Für Signaturen ist es zumindest wichtiger, dass eine Hash-Funktion resistent gegenüber dem Preimage-Problem als gegenüber dem Collision-Problem ist. Denn sofern man zu einem gegebenen Hashwert, welcher aus einer Nachricht gebildet wurde, ein Urbild generiert werden kann, kann die Signatur für dieses Urbild ebenfalls gültig sein (vgl. RSA-Beispiel in Abschnitt 1.1). In Abschnitt 4.2 wird jedoch erläutert, dass das Schnorr Signaturschema gegen mögliche Schwachstellen der verwendeten Hash-Funktion weitestgehend resistent ist. 2.2 Ordnung und erzeugendes Element Grundlegend für die Signaturverfahren von ElGamal und Schnorr sind die Begriffe der Ordnung und des erzeugenden Elements, auch Generator genannt. Definition 1 Die Ordnung eines Elements α einer multiplikativen Gruppe Z p definiert als das kleinste n N, für das gilt: α n 1 mod p mit p prim, ist Definition 2 Ein Element α Z p heißt erzeugendes Element der multiplikativen Gruppe Z p mit p prim, wenn es durch Potenzieren jedes Element aus Z p erzeugen kann: Z p = α = {α i 0 i < p 1} p 1 ist sowohl die Ordnung der Gruppe Z p, als auch des Elements α. 4

5 2 Grundlagen 2.3 Diskreter Logarithmus Der diskrete Logarithmus ist dasjenige Problem, auf dem sowohl die ElGamal-Verschlüsselung und -Signatur, als auch die Schnorr-Signatur basiert. Sobald der diskrete Logarithmus effizient gelöst werden kann, sind diese Verfahren gebrochen. Problem 4 Diskreter Logarithmus: Gegeben: Eine multiplikative Gruppe G der Ordnung p, ein erzeugendes Element α G der Ordnung n und ein Element β α. Gesucht: Die eindeutige Zahl a mit 0 a < n, sodass gilt: α a = β mod p Formuliert man das Problem um, so gilt es, die Berechnung a =log α β mod p durchzuführen. Das ElGamal und Schnorr Signaturschema verwenden die Gruppe G = Z p mit p prim. Während bei ElGamal α die gleiche Ordnung wie die Gruppe Z p besitzt, hat α bei Schnorr nur die Ordnung eines Untergruppe. Beispiel Sei p = 13 und α = 7. Da α erzeugendes Element der Gruppe Z p ist, besitzt es die Ordnung n = 12. Sei nun β = 9, so gilt es diejenige Zahl herauszufinden, die, sofern α mit ihr potenziert wird, genau β ergibt: 9 = 7 a mod p Falls p genügend klein ist, lässt sich dieser Wert jedoch durch diverse Algorithmen bestimmen: a =log mod p, da mod p Algorithmen zur Lösung des diskreten Logarithmus 1. Babystep-Giantstep Algorithmus (nach Shanks) Dieser Algorithmus schreibt den Exponenten als x = qm + r mit m = n und erstellt für den rechten Teil der Gleichung (α m ) q = βα r eine Tabelle mit allen Werten für r < m (dies sind die sogenannten Babysteps). Anschließend berechnet er sukzessive Potenzen von α m und vergleicht diese mit den in der Tabelle gespeicherten Werten (Giantsteps). Der Babystep- Giantstep-Algorithmus wird in [Mo96] ausführlicher dargestellt. Die Laufzeit ist abhängig von der Ordnung des erzeugenden Elements α: O( n). Um ein Verschlüsselungsverfahren gegen diesen Algorithmus abzusichern, sollte somit eine möglichst große Ordnung n gewählt werden. 2. Pohlig-Hellman Algorithmus Mit Hilfe des chinesischen Restsatzes wird die Ordnung der Gruppe in ihre Primfaktoren zerteilt und für jeden einzelnen der Babystep-Giantstep-Algorithmus durchgeführt. Die Laufzeit ergibt sich aus der Anzahl c und der Größe q der Primfaktoren: O(c q). Um sich dagegen abzusichern, sollte zumindest einer der Primfaktoren der Gruppenordnung n (im Fall von Z p gilt n = p 1) groß gewählt werden. 3. Index-Calculus Algorithmus Dieser Algorithmus ist nicht, wie der Babystep-Giantstep und der Pohlig-Hellman Algorithmus, auf beliebige multiplikative Gruppen anwendbar, sondern ist speziell auf multiplikative Gruppen der Form Z p zugeschnitten. In einer initialen Phase benötigt er eine Laufzeit von O(e (1+o(1)) ln p ln ln p ), der eigentliche Algorithmus läuft in O(e (1/2+o(1)) ln p ln ln p ). Die Gesamtlaufzeit ist damit subexponentiell in der Eingabegröße p. Um sich gegen den Index-Calculus abzusichern, sollte demnach ein möglichst großes p gewählt werden. Eine ausführliche Beschreibung der Algorithmen mit Beispielen sind in [Mo96] und [St02] zu finden. 5

6 3 Das ElGamal Signaturschema 3 Das ElGamal Signaturschema Das ElGamal Signaturschema wurde von T. El Gamal 1985 vorgestellt und basiert auf dem diskreten Logarithmus in einer multiplikativen Gruppe Z p. Dabei sollte p genügend groß sein, sodass der diskrete Logarithmus nur mit unverhältnismäßig großem Zeit- oder Rechenaufwand gelöst werden kann. Damit dies der Fall ist, sollte p heutzutage mindestens eine 512 bit große Zahl sein. Das ElGamal Signaturschema wird hier nur kurz ohne weitere Laufzeit- oder Sicherheitsanalysen dargestellt, damit es mit dem Schnorr Signaturschema verglichen werden kann. Weitere Aspekte sind den Quellen [St02] und [Mo96] zu entnehmen. 3.1 Schlüsselgenerierung 1. Wähle eine große Primzahl p und ein erzeugendes Element α der multiplikativen Gruppe Z p. 2. Wähle eine zufällige Zahl a mit 1 a < p Berechne β = α a mod p. Der private Schlüssel ist a und der öffentliche ist (p, α, β). 3.2 Eine Nachricht signieren Im Folgenden wird eine Nachricht m signiert. 1. Wähle ein zufälliges k Z p 1 2. Berechne γ = α k mod p 3. Berechne δ = k 1 (H(m) aγ) mod p 1 4. Sende (m, (γ, δ)) Die Menge der Nachrichten ist P = Z p, die der Signaturen ist A = Z p Z p. Damit eine beliebig lange Nachricht m signiert werden kann, muss sie zunächst in ihrer Größe reduziert werden. Dies geschieht anhand der Hash-Funktion H, die aus der Nachricht m ein Element aus Z p erstellt. Der Signiervorgang ist zudem randomisiert, d. h. zu einer Nachricht m gibt es genau (p 1)-viele Signaturen. 3.3 Eine Nachricht mit Signatur verifizieren Um eine Nachricht m mit der Signatur (γ, δ) zu verifizieren, ist folgender Vergleich notwendig. 1. Nachricht korrekt, wenn α H(m) = β γ γ δ mod p Satz 4 Die Verifizierung der Signatur (γ, δ) ist korrekt. Beweis: β γ γ δ = α aγ α kδ = α aγ+h(m) aγ = α H(m) mod p 4 Das Schnorr Signaturschema Der Entwickler C. P. Schnorr stellte das Schnorr Signaturschema 1991 ursprünglich für die Kommunikation zwischen Smartcards und Terminals vor. Die Einsatzumgebung fordert somit schon einige Eigenschaften an das Signaturschema. Zum einen ist die Rechenleistung auf den Smartcards sehr gering und zum anderen die Bandbreite zur Kommunikation mit den Terminals klein. Bei der Schnorr Signatur ist der nachrichtenabhängige Signieraufwand jedoch sehr gering und die Signaturgröße ebenfalls sehr klein und genügt somit den Voraussetzungen. Zusätzlich soll die Sicherheit ähnlich hoch sein wie bei verwandten Verfahren, z. B. dem ElGamal Signaturschema. 6

7 4 Das Schnorr Signaturschema 4.1 Schlüsselerzeugung Wie ElGamal auch verwendet die Schnorr-Signatur eine multiplikative Gruppe für die Berechnungen. 1. Wähle eine Primzahl p mit etwa 512 bit Größe (die Dimension der Parameter wird in Abschnitt diskutiert) und ein erzeugendes Element α 0 der multiplikativen Gruppe Z p. 2. Wähle eine Primzahl q mit etwa 140 bit Größe, die die Gruppenordnung p 1 teilt: q p 1 3. Berechne α, α > 1, als q-te Wurzel von 1 mod p: α = α (p 1)/q 0 mod p 4. Wähle eine zufällige Zahl a mit 1 a q Berechne β = α a mod p. Der private Schlüssel ist a, der öffentliche (p, q, α, β). Satz 5 α besitzt die Ordnun q. p 1 q q Beweis: Es gilt α q = α0 = α p mod p. Es kann keinen kleineren Wert q mit q < q geben, sodass α q 1 mod p gilt, da sonst α 0 kein erzeugendes Element von Z p wäre. Laut Satz 1 besitzt α die Ordnung q. Beispiel: 1. Wähle p = 23 und α 0 = 5 2. Wähle q = Berechne α = α (p 1)/q 0 = 5 22/11 = 5 2 = 25 2 mod Wähle a = 7 5. Berechne β = α a = 2 7 = mod 23 Der private Schlüssel ist somit a = 7 und der öffentliche (p, q, α, β) = (23, 11, 2, 13). Der Unterschied zum ElGamal Signaturschema ist zum einen die Ordnung von α, die nun nicht mehr p 1 sondern nur noch q ist. Zum anderen geht genau diese Untergruppe der Größe q in den öffentlichen Schlüssel mit ein. 4.2 Eine Nachricht signieren Im Folgenden wird eine Nachricht m signiert. 1. Wähle ein zufälliges k Z q 2. Berechne x = α k mod p 3. Berechne γ = H(m x); die Hash-Funktion H hat eine Ausgabelänge von 72 bit 4. Berechne δ = k + aγ mod q 5. Sende (m, (γ, δ)) Die Menge der Nachrichten ist P = Z p, die der Signaturen ist A = Z q Z q. Im Unterschied zu ElGamal wird nicht nur die Nachricht m sondern zusätzlich das zufällige k gehasht. Dadurch spielen Unsicherheiten der verwendeten Hash-Funktion keine so große Rolle wie in Abschnitt 2.1 beschrieben. Außerdem geht hier die Nachricht m sowohl in γ als auch in δ ein. Der jedoch entscheidene Vorteil gegenüber ElGamal ist der sehr effiziente nachrichtenabhängige Teil der Signierung, in dem keine Invertierung mod p sowie keine Multiplikation mod p sondern nur eine Multiplikation in der Untergruppe der Größe q berechnet werden muss. Die aufwendige Multiplikation in Z p kann im Vorfeld getätigt werden, wenn der Rechner keine anderen Berechnungen durchzuführen hat. 7

8 4 Das Schnorr Signaturschema 4.3 Eine Nachricht verifizieren Eine Nachricht m mit der Signatur (γ, δ) wird wie folgt verifiziert. 1. Berechne x = β γ α δ mod p 2. Nachricht korrekt, wenn H(m x ) = γ mod p Satz 6 Die Verifizierung der Signatur (γ, δ) ist korrekt. Beweis: Es genügt zu zeigen, dass x = x gilt. x = β γ α δ = α aγ α k+aγ = α aγ+k+aγ = α k = x mod p Beispiel: Signieren von m = crypto: 1. Wähle k = 6 2. Berechne x = α k = 2 6 = mod Berechne γ = H(m x) = 20, mit einer geeigneten Hash-Funktion 4. Berechne δ = k + aγ = = mod p 5. Sende (crypto, (20, 3)) Verifizieren: 1. Berechne x = β γ α δ = mod Vergleich H(m x ) mit γ: Da x = 18 = x ist und die Nachricht m unverändert ist, ergibt sich der gleiche Hashwert γ, die Signatur ist somit korrekt. 4.4 Laufzeit Bei der Schlüsselerzeugung (vgl. Abschnitt 4.1) dominieren zwei Operationen die Laufzeit: 1. α = α (p 1)/q 0 mod p Eine Multiplikation mod p, wobei p in der Größenordnung um 512 bit liegt, kann z. B. mit dem Square-And-Multiply Algorithmus[St02] in Zeit O((log p) 3 ) berechnet werden. 2. β = α a mod p Auch diese Multiplikation kann mit gleicher Methodik in Zeit O((log p) 3 ) berechnet werden. Die Bestimmung einer Primzahl p zu Beginn kann z. B. mit Hilfe des propabilistischen Miller- Rabin-Tests ebenfalls in Zeit O(log p) 3 durchgeführt werden[mo96]. Die Laufzeit ist in ihrer Komplexität mit der vom ElGamal Signaturschema vergleichbar, jedoch fällt die Berechnung von α als erzeugendes Element der Untergruppe weg. Das RSA Signaturschema dagegen muss gerade zwei Primzahlen finden und eine Inversenberechnung für den Schlüssel durchführen, ist deshalb schneller. Beim Signieren werden drei Operationen durchgeführt: x = α k mod p Das Preprocessing nimmt beim Signieren am meisten Zeit in Anspruch: O((log p) 3 ) γ = H(m x) Eine geeignete Hash-Funktion soll effizient sein und nimmt somit wenig Laufzeit in Anspruch. Sei O(t H ) dessen Laufzeit. 8

9 4 Das Schnorr Signaturschema δ = k + aγ mod q Dieser nachrichtenabhängige Teil der Signierung benötigt gerade O((log q) 3 ) Laufzeit, da die Berechnung der Multiplikation in der Untergruppe der Größe q stattfindet. Die Berechnung des Hashwertes hängt von der benutzten Hash-Funktion ab, sollte sehr schnell gehen und nicht weiter ins Gewicht fallen. Im Gegensatz zu ElGamal ist der nachrichtenabhängige Teil der Signierung sehr effizient umgesetzt. γ wie auch δ können in kurzer Zeit berechnet werden. Die wesentlichen Unterschiede sind die Rechnung in der Untergruppe sowie die nicht benötigte und somit fehlende Inversenberechnung von k. Verglichen mit dem RSA Signaturschema wird bei RSA nur die Exponentiation des Hashwerts berechnet, der gesamte Signiervorgang ist deshalb weniger aufwändig als der von ElGamal oder Schnorr. Das Verifizieren beinhaltet zwei Operationen: x = β γ α δ mod p Eine Exponentiation in der Gruppe Z p benötigt erneut eine Laufzeit von O((log p) 3 ). H(m x ) Die Hash-Funktion habe wieder die Laufzeit O(t H ), fällt aber bei der vorigen Berechnung nicht ins Gewicht. Das Verifizieren ist vom Aufwand vergleichbar zu dem der ElGamal Signatur, da ähnliche Berechnungen notwendig sind. Wie auch Tabelle 1 zeigt, ist die Verifikation des RSA-Schemas wesentlich effizienter, da gerade eine Exponentiation durgeführt werden muss. 4.5 Vergleich der Signaturgröße und der Effizienz Wählt man für ElGamal, Schnorr und RSA einen Modulos der Größe 512 bit (Bei ElGamal und Schnorr für p, bei RSA für N), so ist die Sicherheit in etwa vergleichbar[wi98] (vgl. Tabelle 1). Dann ergibt sich für die Signaturlänge von Schnorr für γ eine Größe von 72 bit, da dies genau die Ausgabelänge der Hash-Funktion ist, und für δ eine Größe von 140 bit, da δ ein Element der Untergruppe Z q ist. Die ElGamal Signatur dagegen ist 1024 bit groß, da sowohl γ als auch δ Elemente der Gruppe Z p sind. Die Signatur von RSA dagegen besitzt gerade 512 bit. Zu beachten ist, dass die Schnorr Signatur genau wie die ElGamal Signatur randomisiert, RSA dagegen deterministisch ist. Damit ist die Signaturlänge der Schnorr Signatur wesentlich kleiner als die von ElGamal oder RSA. Schema Schnorr ElGamal RSA Signaturlänge γ: 72 bit γ: 512 bit y: 512 bit (mod: 512 bit) δ: 140 bit δ: 512 bit #Multiplikationen Sign: Sign: 750 [Sc91] Verify: 228 Verify: >2 Laufzeit [Wi98] KeyGen*: 6500ms KeyGen: 1100ms (mod: 1024 bit) Sign*: 7ms Sign: 43ms Verify*: 27ms Verify: 0,6ms *Laufzeit des vergleichbaren DSA Tabelle 1: Vergleich der Signaturlänge sowie der Laufzeit verschiedener Signaturschemata Ein Effizienzvergleich zwischen Schnorr und RSA ergibt, dass eine vergleichbare Signierung im Falle von Schnorr 210 nachrichtenunabhängige und keine nachrichtenabhängigen Multiplikation in der Gruppe Z p benötigt, während RSA ca. 750 aufwändige Multiplikationen in Z N benötigt.[sc91] 9

10 4 Das Schnorr Signaturschema Vergleicht man die absolute Laufzeit von DSA 3 mit RSA, so erkennt man den Vorteil der Untergruppe. Die Signierung benötigt gerade 16% der Zeit, die für RSA aufgewendet werden müsste. Die Schlüsselgenerierung und Verifizierung einer Signatur sind jedoch wesentlich aufwendiger als bei RSA. 4.6 Sicherheit Es ist nicht bekannt, ob die Benutzung der Untergruppe einen weiteren Angriffspunkt an das Schnorr Signaturschema bietet, da es weder bekannte Angriffe noch Sicherheitsbeweise gibt. Im Folgenden werden die Parameterwahl, der Total Break sowie die Möglichkeit einer selektiven und existentiellen Fälschung diskutiert. Eine mögliche Schwachstelle ElGamals in Bezug auf die Hash-Funktion wird zudem eleminiert, indem nicht die Nachricht alleine sondern diese zusammen mit dem zufälligen k gehasht wird. Dadurch bringt es keinen Vorteil, durch eine schwache Hash-Funktion z. B. ein zweites Urbild zu berechnen, da das k für den Angreifer nicht bekannt ist Parameterwahl Dieser Abschnitt diskutiert die Wahl der Parameter p und q, damit die Sicherheit 4 von 2 t mit den aktuell verfügbaren Mitteln gewährleistet werden kann. Diese ist in [Sc91] für t = 72 vorgeschlagen, hat heutzutage mit steigender Rechenleistung allerdings schon ca. t = 80 erreicht. Der effektivste Angriff auf Schnorr abhängig vom Parameter p ist die Berechnung des privaten Schlüssels a mit Hilfe des Index-Calculus. Aus der in Abschnitt 2.3 angegebenen Laufzeit für Algorithmus ergibt sich für p die Gleichung: 2 t e ln p ln ln p Damit der Babystep-Giantstep Algorithmus, welcher am effektivsten für die Berechnung des diskreten Logarithmus in der Unitergruppe der Größe q angewandt werden kann, ebenfalls eine Laufzeit entsprechend der Sicherheit t besitzt, ergibt sich für die Dimension von q: q 2 2t Der Index-Calculus lässt sich nicht für einen Angriff auf die Untergruppe anwenden, da sie nicht von der Form Z p ist. Damit ergeben sich bspw. bei t = 72 die Mindestgrößen von 512 bit für p und 140 bit für q Total break Ein Signaturschema ist gebrochen (Total break), sobald sich der privaten Schlüssel in angemessener Zeit und mit angemessenem Aufwand berechnen lassen kann. Annahme: Der private Schlüssel eines Schnorr Signaturschemas lässt sich effizient aus dem öffentlichen berechnen. Aus p, α und β lässt sich a berechnen. Problem 4 aus Abschnitt 2.3 lässt sich effizient berechnen. Für die Lösung des diskreten Logarithmus sind aber bestenfalls die in Abschnitt 2.3 angegebenen Algorithmen bekannt. Die Parameter p und q wurden allerdings so gewählt, dass sie diesen Algorithmen standhalten. Deshalb ist ein Total break mit den derzeitig verfügbaren Mitteln nicht möglich. 3 Digital Signature Algorithm; besitzt identische Schlüsselerzeugung, signiert ähnlich in einer Untergruppe der Größe q und ist somit in der Laufzeit vergleichbar zum Schnorr Signaturschema 4 Englisch: security complexity ; eine Grenze von Rechenschritten, die mit aktueller Technik und aktuellen Algorithmen als unverhältnismäßig hoch angesehen wird, um ein bestimmtes Problem zu lösen. 10

11 5 Zusammenfassung Selektive Fälschung Definition 3 Wenn ein Angreifer ohne Kenntnis des geheimen Schlüssels effizient zu einer bestimmten, vorher gewählten Nachricht m eine gültige Kombination (m, y) mit einer Signatur y herstellen kann, so heißt dies selektive Fälschung. Um für das Schnorr Signaturschema eine selektive Fälschung zu erzeugen, d. h. eine beliebige, vorher gewählte Nachricht m zu signieren, muss das Paar (γ, δ) generiert werden, sodass verify(m, (γ, δ)) = true ergibt. In der Literatur lassen sich jedoch keine Hinweise auf eine selektive Fälschung des Schnorr Signaturschemas finden Existenzielle Fälschung Definition 4 Wenn ein Angreifer ohne Kenntnis des geheimen Schlüssels effizient eine gültige Kombination (m, y) einer beliebigen Nachricht m und einer Signatur y herstellen kann, so heißt dies existentielle Fälschung. Annahme: Es kann eine existentielle Fälschung unter Benutzung einer adaptively chosen message Attacke erstellt werden. Laut Theorem 5 in [Po96] lässt sich dann der diskrete Logarithmus in der Untergruppe berechnen. Jedoch ist bisher nicht bekannt, ob bzw. wie der diskrete Logarithmus einer solchen Untergruppe effizient berechnet werden kann (vgl. Problem 4). Auf diese Weise lässt sich also keine existenzielle Fälschung berechnen; es sind auch keine weiteren Möglichkeiten bekannt. 5 Zusammenfassung Das Schnorr Signaturschema ist für den Einsatz von Smartcards entwickelt worden und ist mit den geforderten Eigenschaften effizient und bisher auch sicher. Zumindest sind derzeit keine Attacken z. B. aufgrund der Benutzung der Untergruppe bekannt. Allerdings besitzt es gegenüber dem DSA den Nachteil, dass innerhalb der Signierfunktion die gesamte Nachricht verarbeitet wird, denn sie wird mit dem k zusammen gehasht. Als Konsequenz muss für die Signatur einer Nachricht diese vollständig auf die Smartcard übertragen werden. Dies ist natürlich bei der schmalen Bandbreite zwischen Smartcard und Terminal sehr ineffizient, weshalb sich das Schnorr Signaturschema nicht durchgesetzt hat. Eine mögliche Lösung wäre jedoch, die Nachricht hzunächst vor der Übertragung zu hashen, und diesen Wert zusammen mit dem k erneut zu hashen. 11

12 Literatur Literatur [Sc91] C. P. Schnorr, Efficient Signature Generation by Smart Cards. Journal of Cryptography 4(3): , [St02] D. R. Stinson, Cryptography - Theory and Practice 2nd Ed., CRC Press, [Po96] D. Pointcheval, J. Stern, Security Proofs for Signature Schemes, Advances in Cryptology, Proc. of Eurocrypt 96, pages , [Mo96] A. Menezes, P. van Oorschot, S. Vanstone, Handbook of Applied Cryptography, CRC Press, [Wi98] M. J. Wiener, Performance Comparison of Public-Key Cryptosystems, RSA CryptoBytes, Volume 4, Number 1,