Übersicht: Undeniable-Signatures

Transkript

1 R. Fischlin/1. Februar 2001 Übersicht: Undeniable-Signatures Im Gegensatz zu digitalen Unterschriften können bei sog. Undeniable- Signature-Schemata die Unterschriften nicht mit Hilfe des Public-Keys (selfauthentication), sondern nur in einem interaktiven Protokoll mit dem Confirmer (dem Signer oder einer von ihm authorisierten Stelle) geprüft werden. Als Anwendungen von Undeniable-Signatures sind u.a. denkbar: Interne, vertrauliche Informationen einer Firma sollen digital signiert werden. Allerdings möchte man, wenn der Inhalt der Dokumente an die Öffentlichkeit gelangt, die Urheberschaft abstreiten können. Nur legale Anwender sollen in der Lage sein zu überprüfen, ob die Daten (z.b. ein Java-Programm) im Originalzustand sind. 1 Chaum-Antwerpen-Undeniable Signatures Das Konzept der Undeniable-Signatures wurden von Chaum und van Antwerpen [CvA89] mit einem Verfahren basierend auf der Diffie-Hellmann- Annahme eingeführt. Die ursprünglichen Protokolle wurden ein Jahr später von Chaum [C90] durch solche mit Zero-Knowledge-Eigenschaft ersetzt. Sei p eine hinreichend große Primzahl, und G Z p eine von g erzeugte Untergruppe der primen Ordnung q. Mit Ausnahme des Einselementes ist jedes h G ein Generator von G. Wir nehmen im weiteren an, dass das Diskrete-Logarithmus-Problem in G effizient nicht zu lösen sei. Der Signer S wählt: Secret-Key: x R Z q. Public-Key: v := g x Die Unterschrift zu einer Nachricht m G, m 1, ist: 1 σ x (m) := m x. Öffentlicher Schlüssel v = g x, Nachricht m =: g y und zugehörige Unterschrift σ x (m) = m x stellen einen Diffie-Hellman-Tupel dar: ( v, m, σx (m) ) = (g x, g y, g yx ). 1 Cramer und Shoup [GS98] schlagen folgende Möglichkeit, die Nachrichten in die Gruppe G einzubetten, vor: Sei p = 2q + 1, und h eine kollisions-resistente Hashfunktion, die die Nachrichtenmenge nach [1, 1 p) abbildet. Dann liegt zur Nachricht m entweder der 2 Hashwert h(m) oder h(m) in G. 1

2 Das Fälschen einer Unterschrift zur Nachricht m ist äquivalent zur Berechnung des Diffie-Hellman-Keys von v und m. 2 Zum Prüfen einer Unterschrift z existieren zwei interaktive Protokolle, in denen S zu vorgelegtem m und z einem Verifier V beweist, ob z! = σ x (m). Conformation: S beweist V, dass z = σ x (m). Disavowal: S beweist V, dass z σ x (m). Mit Hilfe seines Secret-Keys x entscheidet der Signer S, ob z eine Unterschrift zu m ist und welches Protokoll, Conformation- oder Disavowal, er folglich ausführt. Weigert er sich eines der Protokolle ausführen, wird von vorgesetzter Stelle (z.b. Gericht) unterstellt, dass die Unterschrift korrekt ist. Mit dieser Auffassung ist es S umöglich, Unterschriften abzustreiten (undeniable Signatures). Abbildung 1: Confirmation-Protokoll Signer S Message m, z Verifier V x v := g x wähle c R Z q C := A g c X := C x Falls A m a g b, stoppe wähle a, b R Z q A A := m a g b C, X a, b c Teste C! = m a g b+c und X! = z a v b+c Satz 1.1 (Confirmation-Protokoll). Für das Protokoll 1 gilt: Falls z = m x, besteht S stets das Protokoll. 2 Um zu Verhindern, dass ein Angreifer y = log g m kennt, kann im Random-Oracle- Modell der zu unterschreibende Wert m durch den Hashwert H(m) ersetzt werden. Die Sicherheit des Schemas ist dann offenbar auf die Berechnung eines Diffie-Hellman-Keys mit Hilfe eines Decisional-DH-Orakels zu reduzieren. Einen ausführlichen Beweis dieser offensichtlichen Aussage geben [PO01]. 2

3 Falls z m x, besteht S (auch bei unbeschränkter Laufzeit) das Protokoll mit Wahrscheinlichkeit maximal 1 q. Das Protokoll ist perfekt zero-knowledge. Beweis. Siehe [C90]. Für den ZK-Simulator ist entscheidend, dass der Verifier V seine Challenge (a, b) hinterlegt. Zunächst sendet der simulierte Signer bzw. Prover (g r, g rx ) für zufälliges r R Z q, um anschließend die Werte (a, b) zu erhalten. Der Simulator setzt die Ausführung zurück an die Stelle, nachdem der Signer das Commitment zu (a, b) erhalten hat. Aufgrund der Diskreten-Logarithmus-Annahme kann der Verifier V das Commitment nicht anderweitig öffnen. Mit Kenntnis der hinterlegten Werte (a, b) sowie der öffentlichen Daten v = g x und z kann der simulierte Signer das Protokoll erfolgreich bestehen. Die Verteilung des Views (d.h. der übertragenen Daten) der simulierten Ausführung ist identisch zur echten Protokollausführung. Dem Disavowal-Protokoll einer (ungültigen) Unterschrift z zur Nachricht ml iegt folgende Idee zugrunde. Sei z =: m y. Der Verifier V hinterlegt zweimal das Paar (a, b) R Z 2 q, jedoch einmal bezüglich des Generators-Paars (m, g) und zum anderen bezüglich { (m x, g x ) falls z eine Unterschrift zu m ist, also z = m x. (z, v) = (m y, g x ) falls z keine Unterschrift zu m ist, also z m x. Für die beiden Commitments A 1 := m a g b und A 2 := z a v b erhalten wir folgende Beziehung: Es gilt: A 2 = A x 1 z = m x A x 1A 1 2 = m xa g xb m ya g xb = m a(x y) = (m x z 1 ) a Sei a aus dem Intervall [0, k) für ein Parameter k mittlerer Größe. Der Signer S kann, sofern m x z 1 ein Generator ist, den diskreten Logarithmus von A x 1 A 1 2 zur Basis m x z 1 durch Trial-&-Error in k Schritten bestimmen. Falls die Unterschrift z falsch ist, also z m x, erzeugt m x z 1 1 die Gruppe G. Der diskrete Logarithmus ist eindeutig bestimmt, nämlich a. Der Signer S beweist dem Verifier V durch die Antwort a die Ungültigkeit der Unterschrift. Falls die Unterschrift z echt ist, also z = m x, gilt m x z 1 = 1. Durch Erheben des Commitments A 1 in die x-te Potenz A 2 = A x 1 erhält man keine Informationen über den hinterlegten Wert a. Um im Disavowal- Protokoll zu betrügen, muß der Signer S den Wert a [0, k) raten, so dass eine Betrugswahrscheinlickeit von 1 k bleibt. 3

4 Für das Disavowal-Protokoll in Abbildung (2) verwenden wir zusätzlich ein h G mit h 1, wobei der Signer S den diskreten Logarithmus log g h nicht kennt. Abbildung 2: Disavowal-Protokoll Signer S Message m, z Verifier V x v := g x t := log g A x 1 /A 2 Falls t / [0, k), stoppe. wähle r R Z q T := g t h r Falls A 1 m a g b oder A 2 z a v b, stoppe wähle a R Z q, b R [0, k) A 1 := m a g b A 1, A 2 A 2 := z a v b T a, b t Teste t! = a Satz 1.2 (Disavowal-Protokoll). Für das Protokoll 2 gilt: Falls z m x, besteht S stets das Protokoll. Falls z = m x, besteht S das Protokoll mit Wahrscheinlichkeit maximal 1 k. Das Protokoll ist perfektes zero-knowledge. Beweis. Siehe [C90]. Ersetzt man das Commitment T im Disavowal-Protokoll 2 durch ein Schema mit Statistically-Binding-Eigenschaft, so gilt die Aussage von Satz 1.2 auch für S ohne Laufzeit-Beschränkung, allerdings ist das Protokoll dann nicht mehr perfektes zero-knowledge. Von Fujioka, Okamoto und Ohto [FOO91] stammt das Konzept der interaktiven Bi-Proofs, bei denen zu zwei disjunkten Sprachen L 1, L 2 der Prover in einem Protokoll beweist, in welcher der beiden Sprachen x L 1 L 2 liegt. Faßt man die gültigen Unterschriften zu einer vorgegebenen Nachricht m als Sprache L 1 und die ungültigen als L 2 auf, lassen sich Confirmation- 4

5 und Disavowal-Protokoll zu einem Protokoll zusammenfassen [FOO91]. Zwar wird das Protokoll mehrfach wiederholt, jedoch entfällt die Berechnung eines diskreten Logarithmus. Das Undeniable-Signature-Schema wurde von Gennaro, Krawczyk und Rabin [GKR97] auf RSA bzw. die Gruppe Z N übertragen, allerdings muß der RSA-Modul N das Produkt zweier starker Primzahlen sein. Als Hindernis erweist sich das Problem, dass nicht jedes m Z N die maximale (unbekannte) Ordnung hat. 2 Varianten: Convertible-Undeniable- und Designated- Confirmer-Signatures Charakteristisch von Undeniable-Signature-Schemata ist die Eigenschaft, dass Unterschriften nur durch Interaktion mit dem Signer zu überprüfen sind. Boyar, Chaum, Damgård und Pedersen [CA89] haben konvertierbare Undeniable-Signature eingeführt. Der Signer kann alle (gegebenenfalls auch einzelne) Undeniable-Signatures in übliche digitale Unterschriten konvertieren, die dann ohne Interaktion zu verifizieren sind. Satz 2.1 (Boyar, Chaum, Damgård und Pedersen 90). Genau dann gibt es sichere (Convertible-)Undeniable-Signature-Schemata, wenn Oneway- Funktionen (äquivalent sichere digitale Unterschrift-Verfahren) existieren. Sicherheit bedeutet in diesem Zusammenhang, dass das Schema Existially Unforgeable gegen Adaptive-Chosen-Plaintext-Angriffen ist. Wir gehen auf die Sicherheit von Undeniable-Signatures am Ende des Vortrags detailierter ein. Das auf einer ElGamal-Unterschrift basierende Schema [CA89] erwies sich als nicht sicher [DP96]. Damgard und Pedersen [DP96] haben später zwei Verfahren für konvertierbare Undeniable-Signatures vorgestellt, bei denen die zweite Komponente der eigentlichen ElGamal-Unterschrift mit einem Public-Key-Verfahren (Rabin, ElGamal) verschlüsselt ist. Den Secret-Key des Encryption-Verfahrens kennt der Signer. Jeder kann die Unterschrift eigenständig (wie eine gewöhnliche ElGamal-Unterschrift) verifizieren, ersetzt der Signer die verschlüsselte Komponente durch den eigentlichen Wert. In der ursprünglichen Konzeption der Undeniable-Signatures beweist der Signer im Confirmation- und Disavowal-Protokoll, dass eine Unterschrift korrekt ist oder nicht. Eine Unterschrift kann nur dann verifiziert werden, wenn der Signer in der Lage ist, eine Interaktion auszuführen. Um diesen möglichen Engpass zu beseitigen, hat Chaum [C94] das Konzept der Undeniable- zu Designated-Confirmer-Signatures verallgemeinert. Der Signer authorisiert einen sog. Confirmer, der anstelle seiner die Unterschriften bestätigt oder als falsch zurückweist. Dieser Ansatz ist eng verbunden mit Convertible-Undeniable-Signatures. Okamoto [O94] hat diese Idee von 5

6 Chaum aufgegriffen und formalisiert. Allerdings ist seine allgemeine Konstruktion eines Designated-Confirmer-Signature-Schemas fehlerhaft [MS98]. 3 Sicherheit von Undeniable-Signatures Ein Unterschriften-Schema heißt Existially Unforgeable gegen Adaptive- Chosen-Plaintext-Angriffe, wenn es einem Angreifer auch mit Hilfe eines Unterschriften-Orakels nicht gelingt, eine gültige Unterschrift zu einer beliebigen Nachricht (die er zuvor dem Orakel nicht zur Unterschrift vorgelegt hat) zu erzeugen [GMR88]. Chaum und van Antwerpen [CvA89] haben bei der Vorstellung des Konzepts der Undeniable-Signatures keine Sicherheits-Begriffe formuliert. Ein Schritt in die Richtung Sicherheit sind die überarbeiteten Confirmation- und Disavowal-Protokolle mit Zero-Knowledge-Eigenschaft [C90]. Dennoch lernt ein Angreifer anhand des Typs des ausgeführten Protokolls, ob ein Wert eine gültige Unterschrift zu einer vorgelegten Nachricht ist [FOO91]. Bezogen auf das Schema von Chaum und van Antwerpen [CvA89] entspricht die Möglichkeit, eine Unterschrift zu verifizieren, einem Decisional-Diffie- Hellman-Orakel. Der Sicherheitsbegriff (eines Undeniable-Signature-Verfahrens) basierend auf einem Existially-Forgery-Angriff, bei dem im Vergleich zum üblichen Unterschriften-Schema dem Angreifer zusätzlich ein Confirmer-Orakel zur Verfügung steht, greift zu kurz. Boyar, Chaum Damgård und Pedersen [CA89] geben als erste eine Formalisierung für die Undeniable-Eigenschaft, d.h. nur durch Interaktion mit dem Signer ist eine Unterschrift zu prüfen. Neben dem Existially-Forgery-Angriff gibt es den Angriff eines Distinguisher- Enemy [DP96]. Dieser versucht, eine potentielle Unterschrift z zu einer Nachricht m zu verifizieren, ohne das Signature-Orakel nach einer Unterschrift von m und das Confirmer-Orakel nach der Korrektheit der Unterschrift z zu fragen. Betrachten wir einen Distinguisher-Angriff. Der Angreifer wählt eine Nachricht m und erhält eine Challenge eines der beiden Typen: 1. Echte Unterschrift: Eine Unterschrift z := σ x (m) zu m samt View τ einer Ausführung eines Confirmation-Protokolls von z. 2. Fake: Eine gefälschte Unterschrift z := Fake(m) samt View τ einer (simulierten) Ausführung eines Confirmation-Protokolls von z, indem bewiesen wird, dass z eine Unterschrift zu m ist. Ziel des Distinguisher-Angreifers ist zu bestimmen, welchen durch fairen Münzwurf gewählten Typ der Angreifer als Challenge erhalten hat. Er kann Signature- und Confirmer-Orakel aufrufen, allerdings nicht zur Nachricht 6

7 m und zur Unterschrift z. Das Signature-Schema heißt Undeniable gegen Adaptive-Chosen-Plaintext-Angriffe, wenn die Erfolgswahrscheinlichkeit des Distinguisher-Angreifers nur unwesentlich über der Ratewahrscheinlichkeit liegt. Literatur [CA89] [CvA89] [C90] [C94] [FOO91] [GS98] [DP96] [DH76] J. Boyar, D. Chaum, I. Damgård und T. Persen: Convertible Undeniable Signatures, Advances in Cryptology Proceedings Crypto 90, Lecture Notes in Computer Science, Band 537, Springer-Verlag, Seiten , D. Chaum und H. van Antwerpen: Undeniable Signatures, Advances in Cryptology Proceedings Crypto 89, Lecture Notes in Computer Science, Band 435, Springer-Verlag, Seiten , D. Chaum: Zero-Knowledge Undeniable Signatures, Advances in Cryptology Proceedings Eurocrypt 90, Lecture Notes in Computer Science, Band 437, Springer-Verlag, Seiten , D. Chaum: Designated Confirmer Signatures, Advances in Cryptology Proceedings Eurocrypt 94, Lecture Notes in Computer Science, Band 437, Springer-Verlag, Seiten , A. Fujioka, T. Okamoto. und K. Otha: Interactive Bi-Proof Systems and Undeniable Signature Schemes, Advances in Cryptology Proceedings Eurocrypt 91, Lecture Notes in Computer Science, Band 547, Springer-Verlag, Seiten , R. Cramer und V. Shoup: A Practical Public Key Cryptosystem Provable Secure Against Adaptive Chosen Ciphertext Attack, Advances in Cryptology Proceedings Crypto 98, Lecture Notes in Computer Science, Band 1492, Springer-Verlag, Seiten 13 25, I. Damgård und T. Pedersen: New Convertible Undeniable Signatures, Advances in Cryptology Proceedings Eurocrypt 96, Lecture Notes in Computer Science, Band 1070, Springer-Verlag, Seiten , W. Diffie und M. Hellman: New Directions in Cryptography, IEEE Transaction on Information Theory, Band 22(6), Seiten ,

8 [GKR97] [GMR88] R. Gennaro, H. Krawczyk und T. Rabin: RSA-Based Undeniable Signatures, Advances in Cryptology Proceedings Crypto 97, Lecture Notes in Computer Science, Band 1294, Springer- Verlag, Seiten , O. Goldreich, S. Micali und R.L. Rivest: A Digital Signature Scheme Secure Against Adaptive Chosen Message Attacks, SIAM Journal on Computing, Band 17, Nr. 2, Seiten , [GMW96] O. Goldreich, S. Micali und A. Wigderson: Proofs that Yield Nothing but the Validity of the Assertion, and a Methodlogy of Cryptographic Protocol Design, Proceeding 27.te Annual Symposium on the Foundation of Computer Science (FOCS), ACM Press, Seiten , [MS98] [O94] [PO01] M. Michels und M. Stadler: Generic Constructions for Secure and Efficient Confirmer Signature Schemes, Advances in Cryptology Proceedings Eurocrypt 1998, Lecture Notes in Computer Science, Band 1403, Springer-Verlag, Seiten , T. Okamoto: Designated Confirmer Signatures and Public-Key Encryption are Equalent, Advances in Cryptology Proceedings Crypto 94, Lecture Notes in Computer Science, Band 839, Springer-Verlag, Seiten 61 74, D. Pointcheval und T. Okamoto: The Gap-Problems: a New Class of Problems for the Security of Cryptographic Schemes, Proceedings of the 2001 International Workshop on Practice and Theory in Public Key Cryptography (PKC 2001), Lecture Notes in Computer Science, Band 1992, Springer-Verlag,