Digitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)

Transkript

1 Digitale Signaturen RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft

2 Socrative: Wiederholung Room: SIGNATUREN Bitte jetzt einloggen, falls ihr mitmachen wollt :) Bleibt am Besten einfach während der VL eingeloggt. Erstes Quiz läuft bereits & kann ausgefüllt werden! B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

3 Socrative vom letzten Mal Müssen wir bei Sicherheitsbeweisen nicht zeigen, das wir die Spiele richtig simulieren? Ja! Ansonsten: Unklar, wie sich verwendeter Angreifer verhält. Bei den Beweisen in dieser VL ist es aber meist recht leicht einzusehen Werde versuchen, dass aber etwas deutlicher hervorzuheben! B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

4 Socrative vom letzten Mal Müssen wir bei Sicherheitsbeweisen nicht zeigen, das wir die Spiele richtig simulieren? Ja! Ansonsten: Unklar, wie sich verwendeter Angreifer verhält. Bei den Beweisen in dieser VL ist es aber meist recht leicht einzusehen Werde versuchen, dass aber etwas deutlicher hervorzuheben! Kann der PKCS-Signaturpräfix beliebig sein? (Präfix = Nachrichtencodierung?) Nein, ist vom Standard fesgelegt wir wissen aber nichts über Sicherheit des Verfahrens Änderung führt im Prinzip zu einem neuen Verfahren B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

5 Socrative vom letzten Mal Müssen wir bei Sicherheitsbeweisen nicht zeigen, das wir die Spiele richtig simulieren? Ja! Ansonsten: Unklar, wie sich verwendeter Angreifer verhält. Bei den Beweisen in dieser VL ist es aber meist recht leicht einzusehen Werde versuchen, dass aber etwas deutlicher hervorzuheben! Kann der PKCS-Signaturpräfix beliebig sein? (Präfix = Nachrichtencodierung?) Nein, ist vom Standard fesgelegt wir wissen aber nichts über Sicherheit des Verfahrens Änderung führt im Prinzip zu einem neuen Verfahren Leicht: Codierung, mit der das Verfahren unsicher ist Aber: Vielleicht gibt es bessere Codierungen?! B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

6 Socrative vom letzten Mal Müssen wir bei Sicherheitsbeweisen nicht zeigen, das wir die Spiele richtig simulieren? Ja! Ansonsten: Unklar, wie sich verwendeter Angreifer verhält. Bei den Beweisen in dieser VL ist es aber meist recht leicht einzusehen Werde versuchen, dass aber etwas deutlicher hervorzuheben! Kann der PKCS-Signaturpräfix beliebig sein? (Präfix = Nachrichtencodierung?) Nein, ist vom Standard fesgelegt wir wissen aber nichts über Sicherheit des Verfahrens Änderung führt im Prinzip zu einem neuen Verfahren Leicht: Codierung, mit der das Verfahren unsicher ist Aber: Vielleicht gibt es bessere Codierungen?! (Spoiler: gibt es! ;) ) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

7 Inhalt RSA-Full Domain Hash (Kap. 4.2) Random-Oracle-Modell (Kap ) RSA-FDH: Sicherheitsbeweis (Kap ) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

8 Wiederholung: RSA-Annahme RSA-Problem: Geg. N, e (geeignet gewählt) und y Z N, finde x Z N : x e y mod N. RSA-Annahme: PPT A gilt: [ Pr A(1 k, N, e, y) = x : für eine in k vernachlässigbare Funktion negl. x e ] y mod N negl(k) N, e, y wie oben B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

9 Wiederholung: Textbook-RSA Gen(1 k ) : B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

10 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

11 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

12 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

13 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

14 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : σ e? = m (mod N) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

15 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : σ e? = m (mod N) Sicherheit: B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

16 Wiederholung: Textbook-RSA Gen(1 k ) : wähle N = P Q, e geeignet d := e 1 mod ϕ(n) pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : σ e? = m (mod N) Sicherheit: verschiedene Angriffe UUF-NMA-sicher B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

17 Sichere RSA-basierte Signaturen Vorverarbeitung von Nachrichten Letzte VL: RSA PKCS #1 v1.5 Heute: RSA Full Domain Hash (FDH) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

18 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

19 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

20 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

21 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) Vfy(pk, m, σ) : B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

22 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) Vfy(pk, m, σ) : σ e? H(m) (mod N) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

23 RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Nachrichtenraum/ Domäne bei Textbook-RSA: Z N H soll auf die gesamte Domäne Z N abbilden full domain hash Konkret: Gen(1 k ) : wie bei Textbook-RSA Sign(sk, m) : σ := H(m) d (mod N) Vfy(pk, m, σ) : σ e? H(m) (mod N) Korrektheit: wie immer (Übung) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

24 Sicherheit von RSA-FDH Theorem Wenn die RSA-Annahme gilt, dann ist das RSA-FDH-Signaturverfahren EUF-CMA-sicher B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

25 Sicherheit von RSA-FDH Theorem Wenn die RSA-Annahme gilt, dann ist das RSA-FDH-Signaturverfahren EUF-CMA-sicher im Random-Oracle-Modell B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

26 Sicherheit von RSA-FDH Theorem Wenn die RSA-Annahme gilt, dann ist das RSA-FDH-Signaturverfahren EUF-CMA-sicher im Random-Oracle-Modell. Random-Oracle-Modell? B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

27 Gliederung RSA-Full Domain Hash (Kap. 4.2) Random-Oracle-Modell (Kap ) RSA-FDH: Sicherheitsbeweis (Kap ) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

28 Random-Oracle-Modell (ROM) Heuristik betrachte idealisierte Hash-Funktion H Ausgabe von H(m) gleichverteilt zufällig für jede Eingabe m H modelliert als Orakel, das die Hashwerte ausgibt ( Random Oracle ) Alle Parteien verwenden das gleiche Orakel B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

29 Random-Oracle-Modell (ROM) Heuristik betrachte idealisierte Hash-Funktion H Ausgabe von H(m) gleichverteilt zufällig für jede Eingabe m H modelliert als Orakel, das die Hashwerte ausgibt ( Random Oracle ) Alle Parteien verwenden das gleiche Orakel Das H-Orakel: besitzt einen internen Key-Value-Store T implementiert folgenden Algorithmus : if m in T : return T [m] else: y Z N T [m] := y return y B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

30 Random-Oracle-Modell (ROM): Diskussion Fakt: Es existiert kein Random-Oracle in der realen Welt B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

31 Random-Oracle-Modell (ROM): Diskussion Fakt: Es existiert kein Random-Oracle in der realen Welt Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

32 Random-Oracle-Modell (ROM): Diskussion Fakt: Es existiert kein Random-Oracle in der realen Welt Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar (Bem. 63) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

33 Random-Oracle-Modell (ROM): Diskussion Fakt: Es existiert kein Random-Oracle in der realen Welt Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar (Bem. 63) Fakt: Lösungen im ROM oft effizienter als Lösungen im Standardmodell Beispiel: RSA-basierte Signaturen B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

34 Random-Oracle-Modell (ROM): Diskussion Fakt: Es existiert kein Random-Oracle in der realen Welt Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar (Bem. 63) Fakt: Lösungen im ROM oft effizienter als Lösungen im Standardmodell Beispiel: RSA-basierte Signaturen Fakt: Lösungen im ROM oft einfacher zu konstruieren Vorstufe zur Lösung im Standardmodell B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

35 Random-Oracle-Modell (ROM): Diskussion Fakt: Es existiert kein Random-Oracle in der realen Welt Konsens: Sicherheitsbeweis im Standardmodell besser als Sicherheitsbeweis im ROM Fakt: manche kryptographischen Probleme nur im ROM lösbar (Bem. 63) Fakt: Lösungen im ROM oft effizienter als Lösungen im Standardmodell Beispiel: RSA-basierte Signaturen Fakt: Lösungen im ROM oft einfacher zu konstruieren Vorstufe zur Lösung im Standardmodell = ROM vereinfacht Sicherheitsbeweise oder ermöglicht sie erst B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

36 Random-Oracle-Modell (ROM): Diskussion Fakt: für viele Konstruktionen im ROM sind keine realen Angriffe bekannt B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

37 Random-Oracle-Modell (ROM): Diskussion Fakt: für viele Konstruktionen im ROM sind keine realen Angriffe bekannt Fakt: Es existieren kryptographische Konstruktionen, die im ROM als sicher bewiesen werden können, aber mit jeder realen Hash-Funktion unsicher sind. Aber: diese Konstruktionen sind sehr künstlich B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

38 Random-Oracle-Modell (ROM): Diskussion Fakt: für viele Konstruktionen im ROM sind keine realen Angriffe bekannt Fakt: Es existieren kryptographische Konstruktionen, die im ROM als sicher bewiesen werden können, aber mit jeder realen Hash-Funktion unsicher sind. Aber: diese Konstruktionen sind sehr künstlich Fakt: Was genau ein Sicherheitsbeweis im ROM für die Sicherheit in der Praxis bedeutet ist unklar Grundidee: Verfahren ist sicher, solang die Hashfunktion gut ist B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

39 Random-Oracle-Modell (ROM): Diskussion Zusammenfassung: ROM liefert effiziente Konstruktionen funktioniert (bisher) in der Praxis gut ist (Über-)Idealisierung ROM insgesamt umstritten B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

40 Socrative Room: SIGNATUREN Was ist das Random Oracle Modell? Gibt es Verfahren, die im ROM und Standardmodell sicher sind? Gibt es Verfahren, die im ROM, aber nicht im Standardmodell sicher sind? B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

41 Gliederung RSA-Full Domain Hash (Kap. 4.2) Random-Oracle-Modell (Kap ) RSA-FDH: Sicherheitsbeweis (Kap ) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

42 RSA-FDH: Sicherheitsbeweis Theorem (64) Wenn H als Random Oracle modelliert wird, dann existiert für jeden Angreifer A, der die EUF-CMA-Sicherheit von RSA-FDH in Zeit t A mit Erfolgswahrscheinlichkeit ɛ A bricht und dabei höchstens q H Anfragen an das H-Orakel stellt ein Angreifer B der das RSA-Problem in Zeit t B t A mit Erfolgswahrscheinlichkeit löst. ɛ B ɛ A 1/N q H B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

43 RSA-FDH: Sicherheitsbeweis Beweisidee: A muss Hashwert-Anfragen an das RO stellen auch für m Fange diese Anfragen ab und simuliere RO B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

44 RSA-FDH: Sicherheitsbeweis Beweisidee: A muss Hashwert-Anfragen an das RO stellen auch für m Fange diese Anfragen ab und simuliere RO B kann das RO für A implementieren = ersetze Random-Oracle-Implementierung: rate Index i der Nachricht, für die A eine Signatur fälschen wird wähle alle anderen Hash-Werte h j (j = i) so, dass eine Signatur bekannt ist wähle h i = y B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

45 RSA-FDH: Sicherheitsbeweis Angenommen, A ist erfolgreich und gibt gültige Fälschung (m, σ ) aus. Dann trifft eins der folgenden Ereignisse ein: E 0 : A fragt nie H(m ) beim RO an E 1 : A fragt H(m ) beim RO an B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

46 RSA-FDH: Sicherheitsbeweis Angenommen, A ist erfolgreich und gibt gültige Fälschung (m, σ ) aus. Dann trifft eins der folgenden Ereignisse ein: E 0 : A fragt nie H(m ) beim RO an E 1 : A fragt H(m ) beim RO an Es gilt ɛ A Pr[E 0 ] + Pr[E 1 ] B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

47 RSA-FDH: Ereignis E 0 E 0 : A fragt nie H(m ) beim RO an RO wählt H(m ) echt zufällig aus Z N Abb. h h d mod N ist eine Bijektion Damit ist σ = H(m ) d ebenfalls echt zufällig aus Z N D.h. A kann in diesem Fall nur Raten B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

48 RSA-FDH: Ereignis E 0 E 0 : A fragt nie H(m ) beim RO an RO wählt H(m ) echt zufällig aus Z N Abb. h h d mod N ist eine Bijektion Damit ist σ = H(m ) d ebenfalls echt zufällig aus Z N D.h. A kann in diesem Fall nur Raten = Pr[E 0 ] 1 N B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

49 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

50 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

51 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

52 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

53 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

54 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

55 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? berechne σ geeignet σ B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

56 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? berechne σ geeignet σ 2 m, σ B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

57 RSA-FDH: Beweisübersicht für E 1 RSA-Problem EUF-CMA C RSA B A wähle N, e, y N, e, y pk H(m) =? wähle H(m) geeignet H(m) 1 Sign(sk, m) =? berechne σ geeignet σ 2 x m, σ B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

58 RSA-FDH: Erfolgswkt. Erinnerung: ɛ A Pr[E 0 ] + Pr [ E 1 ] Bisher gezeigt: Pr[E 0 ] 1/N und ɛ B Pr[E 1 ]/q H B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

59 RSA-FDH: Erfolgswkt. Erinnerung: ɛ A Pr[E 0 ] + Pr [ E 1 ] Bisher gezeigt: Pr[E 0 ] 1/N und ɛ B Pr[E 1 ]/q H Daraus folgt: ɛ B q H Pr[E 1 ] ɛ A Pr[E 0 ] ɛ A 1/N B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

60 RSA-FDH: Erfolgswkt. Erinnerung: ɛ A Pr[E 0 ] + Pr [ E 1 ] Bisher gezeigt: Pr[E 0 ] 1/N und ɛ B Pr[E 1 ]/q H Daraus folgt: ɛ B q H Pr[E 1 ] ɛ A Pr[E 0 ] ɛ A 1/N ɛ B ɛ A 1/N q H B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

61 RSA-FDH: Diskussion (Skript) Konstruierter Angreifer B hat Erfolgswahrscheinlichkeit ɛ B ɛ A 1/N q H schwaches Ergebnis zwar ausreichend, um EUF-CMA-Sicherheit zu zeigen aber: ɛ B ɛ A wäre stärkeres/besseres Ergebnis B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

62 RSA-FDH: Diskussion (Skript) Konstruierter Angreifer B hat Erfolgswahrscheinlichkeit ɛ B ɛ A 1/N q H schwaches Ergebnis zwar ausreichend, um EUF-CMA-Sicherheit zu zeigen aber: ɛ B ɛ A wäre stärkeres/besseres Ergebnis Frage: Hat diese Schwäche Auswirkungen? B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

63 RSA-FDH: Diskussion (Skript) Ja! (Wenn man auf beweisbarer Sicherheit besteht.) Nächste Vorlesung: Welche Auswirkungen hat der Verlust bei der Erfolgswahrscheinlichkeit? RSA-PSS: Signaturverfahren mit deutlich kleinerem Verlust B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model

64 Socrative Room: SIGNATUREN Sicherheit von RSA-FDH? Ist RSA-FDH homomorph? Was nutzen wir im Beweis aus? B. Kaidel Digitale Signaturen: RSA-FDH & das Random Oracle Model