Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Ähnliche Dokumente
Digitale Signaturen. GHR-und Chamäleon-Signaturen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. RSA-FDH & das Random Oracle Model Jiaxin Pan (Slides from Björn Kaidel and Gunnar Hartung)

Digitale Signaturen. RSA-FDH & das Random Oracle Model Björn Kaidel (mit Folien von Gunnar Hartung)

Digitale Signaturen. Einmalsignaturen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.

Digitale Signaturen. Sicherheitsdefinitionen Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren

Digitale Signaturen. seuf-cma & Pairings Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Sicherheitsdefinitionen Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. seuf-cma & Pairings Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Anwendung von Einmalsignaturen Gunnar Hartung, Björn Kaidel.

Digitale Signaturen. Anwendung von Einmalsignaturen Björn Kaidel (mit Folien von Gunnar Hartung)

Digitale Signaturen. Parameterwahl & RSA-PSS Björn Kaidel (mit Folien von Gunnar Hartung)

Vorlesung Digitale Signaturen im Wintersemester 2016/-17. Socrative-Fragen aus der Vorlesung vom

Vorlesung Digitale Signaturen im Wintersemester 2017/-18. Socrative-Fragen aus der Vorlesung vom

Digitale Signaturen. Einführung Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen. Einführung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Übung zur Vorlesung Sicherheit Übungsblatt 3. Björn Kaidel 1 / 52

Übung zur Vorlesung. Sicherheit Übungsblatt 5 Björn Kaidel

Vorlesung Sicherheit

Homomorphe Verschlüsselung

Voll homomorpe Verschlüsselung

RSA Full Domain Hash (RSA-FDH) Signaturen

Vorlesung Sicherheit

Ziel: Zertifiziere Pfad von Wurzel zu m mittels Signaturen. Signieren Public-Keys auf Pfad inklusive der Nachbarknoten.

Hashfunktionen und Kollisionen

Vorlesung Sicherheit

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur Hinweise

Vorlesung Sicherheit

RSA Full Domain Hash (RSA-FDH) Signaturen

Übungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade

Institut für Theoretische Informatik Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur. Lösung

Vorlesung Sicherheit

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösung Hinweise

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Nachklausur

Beliebige Anzahl von Signaturen

Asymmetrische Verschlüsselungsverfahren

Sicherheit von Merkle Signaturen

Homomorphe Verschlüsselung

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Klausur Hinweise

Vorlesung Sicherheit

Asymmetrische Verschlüsselungsverfahren

Rabin Verschlüsselung 1979

Institut für Theoretische Informatik Prof. Dr. Dennis Hofheinz Übungsleiter: Thomas Agrikola. Stammvorlesung Sicherheit im Sommersemester 2017

Digitale Signaturen. Kapitel 8

Sicherer MAC für Nachrichten beliebiger Länge

Verteilte Kyroptographie

Hybride Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren

Merkle-Damgard Transformation

Einführung in digitale Signaturen

Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade. Nachklausur. Lösungsvorschlag Hinweise

3: Primzahlen. 111 S. Lucks Diskr Strukt. (WS 18/19) 3: Primzahlen



Definition Message Authentication Code (MAC) Ein Message Authentication Code (MAC) bzgl. des Nachrichtenraumen M besteht aus den ppt Alg.

3: Zahlentheorie / Primzahlen

Blinde Signaturen, geheime Abstimmungen und digitale Münzen

VI.4 Elgamal. - vorgestellt 1985 von Taher Elgamal. - nach RSA das wichtigste Public-Key Verfahren

VIII. Digitale Signaturen

Vorlesung Sicherheit

CPA-Sicherheit ist ungenügend

Vorlesung Sicherheit

Ununterscheidbarkeit von Chiffretexten

Ununterscheidbarkeit von Chiffretexten

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Übungsblatt 5. pk = (g, y) und sk = (g, x). ? = y H(t m) t. g s

Ununterscheidbarkeit von Chiffretexten

Vorlesung Sicherheit

Privacy-Preserving Authentication 2 Kryptografische Bausteine WS 2015/2016

Übung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel

Vorlesung Sicherheit

Digitale Unterschriften. Angriffe und Sicherheitsmodelle. Bemerkungen. Angriffe und Sicherheitsmodelle

Existenz von Einwegfunktionen

Hardcore-Prädikat. Definition Hardcore-Prädikat. Ziel: Destilliere Komplexität des Invertierens auf ein Bit.

Übung zur Vorlesung Sicherheit Übungsblatt 2. Alexander Koch Björn Kaidel

ElGamal Verschlüsselungsverfahren (1984)

VI.3 RSA. - RSA benannt nach seinen Erfindern R. Rivest, A. Shamir und L. Adleman. - vorgestellt erstes Public-Key Verschlüsselungsverfahren

Sicherheit von ElGamal

Bemerkungen. Orientierung. Digitale Unterschriften. Angriffe und Sicherheitsmodelle

VII. Hashfunktionen und Authentifizierungscodes

Aufgabe der Kryptografie

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise

Ich bedanke mich bei Florian Böhl, Benny Fuhry, Gunnar Hartung, Jan Holz, Björn Kaidel, Eike Kiltz, Evgheni Kirzner, Jessica Koch, Julia Rohlfing,

Digitale Signaturen. Andreas Spillner. Kryptografie, SS 2018

Vorlesung Sicherheit

Vorlesung Sicherheit

Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Nachklausur Hinweise

Digitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.

Sicherheit von hybrider Verschlüsselung

Übung zur Vorlesung Sicherheit Übungsblatt 4. Björn Kaidel 1 / 70

Vorlesung Sicherheit

Algorithmen II Vorlesung am

Vorlesung Sicherheit

Einwegfunktionen Ziel: CPA-sichere Verschlüsselung aus Trapdoor-Einwegpermutation Später: CCA-sichere Verschlüsselung aus Trapdoor-Einwegperm.

Vorlesung Sicherheit

Transkript:

Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft www.kit.edu

Socrative: Wiederholung https://b.socrative.com/login/student/ Room: SIGNATUREN Was besagt die RSA-Annahme? Was ist Shamirs Trick? Welche Sicherheitsbegriffe erfüllt RSA-PSS? 1 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Socrative vom letzten Mal Bei Bezug auf die aktuell besten Algorithmen ist es doch weiterhin möglich, dass z.b. geheime Algorithmen besser sind? 2 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Socrative vom letzten Mal Bei Bezug auf die aktuell besten Algorithmen ist es doch weiterhin möglich, dass z.b. geheime Algorithmen besser sind? Ja, natürlich! Solang Annahme gilt, wissen wir aber, dass zumindest kein PPT-Angreifer existiert. Es ist aber auch denkbar, dass Annahmen gebrochen werden. (Erinnerung: Zusammenhang zu P & NP etc....) Aber irgendwie müssen wir die Parameter ja wählen :) Außerdem: Wir hatten ja aufgerundet 2 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Socrative vom letzten Mal Bei Bezug auf die aktuell besten Algorithmen ist es doch weiterhin möglich, dass z.b. geheime Algorithmen besser sind? Ja, natürlich! Solang Annahme gilt, wissen wir aber, dass zumindest kein PPT-Angreifer existiert. Es ist aber auch denkbar, dass Annahmen gebrochen werden. (Erinnerung: Zusammenhang zu P & NP etc....) Aber irgendwie müssen wir die Parameter ja wählen :) Außerdem: Wir hatten ja aufgerundet Ist RSA-PSS Prüfungsrelevant? Ja, der Sicherheitsbeweis aber nicht (Generell: Alles aus der VL prüfungsrelevant, außer ich sage explizit etwas anderes) 2 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Socrative vom letzten Mal Sagt man wirklich tight? 3 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Socrative vom letzten Mal Sagt man wirklich tight? Ja! https://scholar.google.de/scholar?q=tight+reduction https://scholar.google.de/scholar?q=tight+crypto 3 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Inhalt Genaro-Halevi-Rabin Signaturen (Kap 4.3) Chamäleon-Hashfunktionen (Kap. 3) 4 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

RSA-Signaturen: Probleme Bisher betrachtete Verfahren nur im Random-Oracle Modell sicher Offenes Problem: EUF-CMA-sichere Signatur basierend auf RSA-Annahme, dass effizient (d.h. in Praxis verwendbar) ist und kein Random-Oracle benötigt. Abhilfe : Strong-RSA-Annahme 5 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Strong-RSA-Annahme RSA-Problem: Geg. N, e geeignet und y Z N, finde x Z N mit x e y mod N. RSA-Annahme: PPT A gilt: [ Pr A(1 k, N, e, y) = x : für eine in k vernachlässigbare Funktion negl. N = P Q, e Z ϕ(n), ] y Z N, x e negl(k) y mod N 6 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Strong-RSA-Annahme Strong-RSA-Problem: Geg. N geeignet und y Z N, finde x Z N und e N, e > 1 mit x e y mod N. Strong-RSA-Annahme: PPT A gilt: [ Pr A(1 k, N, y) = (x, e) : für eine in k vernachlässigbare Funktion negl. ] N = P Q, e > 1, y Z N, x e negl(k) y mod N 6 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Strong-RSA: Begriffsverwirrung Strong-RSA-Annahme stärker als RSA-Annahme Wir erlauben dem Angreifer mehr Kontrolle bzw. schwächen seine Gewinnbedingung ab Dadurch nehmen wir mehr an, da wir annehmen, dass es für den Angreifer immer noch schwierig ist, zu gewinnen. 7 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Strong-RSA: Begriffsverwirrung Strong-RSA-Annahme stärker als RSA-Annahme Wir erlauben dem Angreifer mehr Kontrolle bzw. schwächen seine Gewinnbedingung ab Dadurch nehmen wir mehr an, da wir annehmen, dass es für den Angreifer immer noch schwierig ist, zu gewinnen. Strong-RSA-Problem schwächer als RSA-Problem Gewinnbedingung vereinfacht, Problem damit (potentiell) einfacher 7 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Strong-RSA: Begriffsverwirrung Strong-RSA-Annahme stärker als RSA-Annahme Wir erlauben dem Angreifer mehr Kontrolle bzw. schwächen seine Gewinnbedingung ab Dadurch nehmen wir mehr an, da wir annehmen, dass es für den Angreifer immer noch schwierig ist, zu gewinnen. Strong-RSA-Problem schwächer als RSA-Problem Gewinnbedingung vereinfacht, Problem damit (potentiell) einfacher Strong-RSA-Annahme RSA-Annahme, Umkehrung unklar 7 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Genaro-Halevi-Rabin Signaturen (Kap. 4.3.2) Es sei h : {0, 1} P eine Hashfunktion (P = Primzahlen) 8 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Genaro-Halevi-Rabin Signaturen (Kap. 4.3.2) Es sei h : {0, 1} P eine Hashfunktion (P = Primzahlen) Gen(1 k ) : erstelle N = P Q, P, Q prim und zufällig s Z N Wähle h so, dass für alle m gilt, dass ggt(h(m), ϕ(n)) = 1 pk := (N, s, h) sk := ϕ(n) = (P 1)(Q 1) 8 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Genaro-Halevi-Rabin Signaturen (Kap. 4.3.2) Es sei h : {0, 1} P eine Hashfunktion (P = Primzahlen) Gen(1 k ) : erstelle N = P Q, P, Q prim und zufällig s Z N Wähle h so, dass für alle m gilt, dass ggt(h(m), ϕ(n)) = 1 pk := (N, s, h) sk := ϕ(n) = (P 1)(Q 1) Sign(sk, m) : σ := s 1/h(m) mod N 8 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Genaro-Halevi-Rabin Signaturen (Kap. 4.3.2) Es sei h : {0, 1} P eine Hashfunktion (P = Primzahlen) Gen(1 k ) : erstelle N = P Q, P, Q prim und zufällig s Z N Wähle h so, dass für alle m gilt, dass ggt(h(m), ϕ(n)) = 1 pk := (N, s, h) sk := ϕ(n) = (P 1)(Q 1) Sign(sk, m) : σ := s 1/h(m) mod N Vfy(pk, m, σ) : σ h(m)? s mod N 8 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Genaro-Halevi-Rabin Signaturen (Kap. 4.3.2) Es sei h : {0, 1} P eine Hashfunktion (P = Primzahlen) Gen(1 k ) : erstelle N = P Q, P, Q prim und zufällig s Z N Wähle h so, dass für alle m gilt, dass ggt(h(m), ϕ(n)) = 1 pk := (N, s, h) sk := ϕ(n) = (P 1)(Q 1) Sign(sk, m) : σ := s 1/h(m) mod N Vfy(pk, m, σ) : σ h(m)? s mod N ( : Ist möglich, wir gehen nicht weiter darauf ein.) 8 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

GHR-Signaturen: Sicherheit Theorem 70: Für jeden PPT-Angreifer A der die EUF-naCMA-Sicherheit von Σ in Zeit t A mit Erfolgswahrscheinlichkeit ɛ A bricht, existiert ein PPT-Angreifer B, der in Zeit t B t A läuft und entweder die Kollisionsresistenz von h bricht mit Erfolgswahrscheinlichkeit ɛ coll ɛ A /2, oder das Strong-RSA-Problem löst mit Erfolgswahrscheinlichkeit ɛ srsa ɛ A /2. 9 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

GHR-Signaturen: Beweis EUF-naCMA: Seien m 1,..., m q die Anfragen und (m, σ ) die Ausgabe von A Zwei Ereignisse: E 0 : Es existiert m i mit h(m i ) = h(m ). E 1 : Für alle i {1,..., q} gilt h(m i ) = h(m ) 10 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

GHR-Signaturen: Beweis EUF-naCMA: Seien m 1,..., m q die Anfragen und (m, σ ) die Ausgabe von A Zwei Ereignisse: E 0 : Es existiert m i mit h(m i ) = h(m ). E 1 : Für alle i {1,..., q} gilt h(m i ) = h(m ) A ruft E 0 oder E 1 hervor, also gilt ɛ A Pr[E 0 ] + Pr[E 1 ] Pr[E 0 ] ɛ A /2 oder Pr[E 1 ] ɛ A /2 10 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

GHR-Signaturen: Beweis - Ereignis E 0 E 0 : Es existiert m i mit h(m i ) = h(m ). m i und m sind h-kollision. Reduziere auf Kollisionsresistenz von h. B erhält als Eingabe h, zieht (pk, sk) Gen(1 k ), simuliert A,... 11 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

GHR-Signaturen: Beweis - Ereignis E 1 E 1 : Für alle i {1,..., q} gilt h(m i ) = h(m ). Reduziere auf Strong-RSA-Annahme. Annahme: Es existiert PPT A,...... konstruiere B... 12 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

GHR-Signaturen: Beweis - Ereignis E 1 E 1 : Für alle i {1,..., q} gilt h(m i ) = h(m ). Reduziere auf Strong-RSA-Annahme. Annahme: Es existiert PPT A,...... konstruiere B... B erhält als Eingabe (N, y) und muss (x, e) finden mit e > 1 x e y mod N. 12 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

GHR-Signaturen: srsa-reduktion Erinnerung: Gen(1 k ) : s Z N pk := (N, s, h) sk := ϕ(n) σ = s 1/h(m) mod N B verwendet (N, y) und setzt s := y Π i {1,...,q} h(m i ) mod N 13 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

GHR-Signaturen: srsa-reduktion Erinnerung: Gen(1 k ) : s Z N pk := (N, s, h) sk := ϕ(n) σ = s 1/h(m) mod N B verwendet (N, y) und setzt s := y Π i {1,...,q} h(m i ) mod N ( stellt sicher, dass s korrekt verteilt ist!) 13 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

GHR-Signaturen: srsa-reduktion Erinnerung: Gen(1 k ) : s Z N pk := (N, s, h) sk := ϕ(n) σ = s 1/h(m) mod N B verwendet (N, y) und setzt s := y Π i {1,...,q} h(m i ) mod N ( stellt sicher, dass s korrekt verteilt ist!) Signatur für Nachricht m j : σ j := y Π i {1,...,q}\{j} h(m i ) mod N 13 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

GHR-Signaturen: srsa-reduktion - Fälschung E 1 tritt ein: A gibt gültige Fälschung (m, σ ) aus mit h(m ) = h(m i ) für alle i {1,..., q}, und (σ ) h(m ) s y Π i {1,...,q} h(m i ) mod N Zusätzlich gilt: ggt(h(m ), Π i {1,...,q} h(m i )) = 1, da h auf Primzahlen abbildet und E 1 eingetreten ist. 14 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

GHR-Signaturen: Shamirs Trick (σ ) h(m ) s y Π i {1,...,q} h(m i ) mod N 15 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

GHR-Signaturen: Shamirs Trick (σ ) h(m ) s y Π i {1,...,q} h(m i ) mod N Lemma 31: Seien J, S Z N und e, f aus Z, sodass ggt(e, f ) = 1 und J f S e mod N, dann gibt es einen effizienten Algorithmus, der gegeben N Z und (J, S, e, f ) Z 2 N Z2 ein x Z N berechnet, sodass x e J mod N. 15 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

GHR-Signaturen: Shamirs Trick (σ ) h(m ) s y Π i {1,...,q} h(m i ) mod N Lemma 31: Seien J= y, S= σ Z N und e= h(m ), f = Π i {1,...,q} h(m i ) aus Z, sodass ggt(e, f ) = 1 und J f S e mod N, dann gibt es einen effizienten Algorithmus, der gegeben N Z und (J, S, e, f ) Z 2 N Z2 ein x Z N berechnet, sodass x e J mod N. x h(m ) y mod N Also: (x, h(m )) ist gesuchte Lösung der srsa-instanz. 15 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Ziel: EUF-CMA basierend auf RSA Kapitel 4.4 kein Teil der Vorlesung. Inhalt dort: Konstruktion einer EUF-CMA-sicheren Signatur basierend auf dem RSA-Problem. (Ohne Random Oracle!) Generelles Vorgehen: Zeige: GHR-Signaturen unter RSA-Annahme selektiv sicher. Transformation: Selektive Sicherheit EUF-naCMA Wende darauf ein paar Modifikationen an (zur Effizienzsteigerung) Führt zu EUF-naCMA-sicheren Hohenberger-Waters-Signaturen Transformation: EUF-naCMA EUF-CMA 16 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Offene Probleme Konstruktion einer effizenten EUF-CMA-sicheren Signatur basierend auf dem RSA-Problem Hohenberger-Waters Verfahren sehr ineffizient In jedem Schritt müssen viele Primzahlen gefunden werden. 17 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Socrative 18 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen https://b.socrative.com/login/student/ Room: SIGNATUREN Zusammenhang: RSA-, srsa-, Faktorisierungsannahme? Existieren Hashftk. die auf Primzahlen abbilden? Warum braucht man bei GHR eine Hashfkt. die auf Primzahlen abbildet? Auf was wird bei GHR reduziert?

Chamäleon-Signaturen: Motivation (Kap. 3.1) Händler Kunde Händler 2 19 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Chamäleon-Signaturen: Motivation (Kap. 3.1) Angebot? Händler Kunde 100$, σ 1 Händler 2 19 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Chamäleon-Signaturen: Motivation (Kap. 3.1) Angebot? Händler Kunde 100$, σ 1 100$, σ 1 99$, σ 2 Händler 2 19 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Chamäleon-Signaturen: Ziel Frage: Können wir ein Signaturverfahren konstruieren, sodass...... K die Authentizität des Angebots von H 1 verifizieren kann, aber... K den Händler H 2 nicht davon überzeugen kann, dass das Angebot von H 1 kam? 20 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Chamäleon-Hashfunktionen (Definition) (Kap. 3.2) Def. (Chamäleon-Hashfunktion): Eine Chamäleon-Hashfunktion CH besteht aus zwei PPT-Algorithmen (Gen CH, TrapColl CH ): 21 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Chamäleon-Hashfunktionen (Definition) (Kap. 3.2) Def. (Chamäleon-Hashfunktion): Eine Chamäleon-Hashfunktion CH besteht aus zwei PPT-Algorithmen (Gen CH, TrapColl CH ): Gen CH (1 k ) : gibt (ch, τ) aus: ch ist eine Funktion ch : M R N M Nachrichtenraum R Zufallsraum N Zielraum M, R, N abhängig von konkreter CH! τ ist eine Trapdoor ( Falltür ). 21 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Chamäleon-Hashfunktionen (Definition - II) TrapColl CH (τ, m, r, m ) für (m, r, m ) M R M berechnet r R, sodass ch(m, r) = ch(m, r ) 22 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Chamäleon-Hashfunktionen (Definition - II) TrapColl CH (τ, m, r, m ) für (m, r, m ) M R M berechnet r R, sodass ch(m, r) = ch(m, r ) Wer τ kennt, kann Kollisionen berechnen Daher der Name Chamäleon -Hashfunktion Ausgabe wechselt ihr Urbild wechselt ihre Farbe 22 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Chamäleon-Hashfunktionen (Definition - II) TrapColl CH (τ, m, r, m ) für (m, r, m ) M R M berechnet r R, sodass ch(m, r) = ch(m, r ) Wer τ kennt, kann Kollisionen berechnen Daher der Name Chamäleon -Hashfunktion Ausgabe wechselt ihr Urbild wechselt ihre Farbe Anm.: Häufig wird verlangt, dass r quasi gleichverteilt ist (spielt in der VL keine Rolle) 22 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Kollisionsresistenz Def. 39 (Kollisionsresistenz für Chamäleon-Hashfkt.): Eine Chamäelon-Hashfunktion CH = (Gen CH, TrapColl CH ) ist kollisionsresistent, falls für alle PPT A gilt, dass 23 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Kollisionsresistenz Def. 39 (Kollisionsresistenz für Chamäleon-Hashfkt.): Eine Chamäelon-Hashfunktion CH = (Gen CH, TrapColl CH ) ist kollisionsresistent, falls für alle PPT A gilt, dass [ (ch, τ) GenCH (1 Pr k ) A(1 k, ch) = (m, r, m, r ) : ch(m, r) = ch(m, r ] ) (m, r) = (m, r negl(k) ) für eine im Sicherheitsparameter k vernachlässigbare Funktion negl. 23 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

CH-Fkt. basierend auf DLog (Kap. 3.3.1) Wie immer: G Gruppe, G = p prim, g Erzeuger von G 24 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

CH-Fkt. basierend auf DLog (Kap. 3.3.1) Wie immer: G Gruppe, G = p prim, g Erzeuger von G Gen(1 k ) : x Z p h := g x ch := (g, h) τ := x 24 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

CH-Fkt. basierend auf DLog (Kap. 3.3.1) Wie immer: G Gruppe, G = p prim, g Erzeuger von G Gen(1 k ) : x Z p h := g x ch := (g, h) τ := x ch beschreibt Funktion: ch : Z p Z p G ch(m, r) := g m h r 24 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

CH-Fkt. basierend auf DLog ch(m, r) = g m h r TrapColl(τ, m, r, m ) : 25 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

CH-Fkt. basierend auf DLog ch(m, r) = g m h r TrapColl(τ, m, r, m ) : Berechnet r, sodass m + x r m + x r modp 25 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

CH-Fkt. basierend auf DLog ch(m, r) = g m h r TrapColl(τ, m, r, m ) : Berechnet r, sodass r m + x r m + x r = m m x modp + r modp 25 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

CH-Fkt. basierend auf DLog ch(m, r) = g m h r TrapColl(τ, m, r, m ) : Berechnet r, sodass Damit folgt: r m + x r m + x r = m m x modp + r modp ch(m, r) = g m h r = g m+xr = g m +xr = g m h r = ch(m, r ) 25 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

CH-Fkt. basierend auf DLog - Sicherheit Theorem 40: Für jeden PPT A, der als Eingabe ch = (g, h) Gen(1 k ) erhält, in Zeit t A läuft und mit Erfolgswahrscheinlichkeit ɛ A ein Tupel (m, r, m, r ) ausgibt, sodass (m, r) = (m, r ) und ch(m, r) = ch(m, r ) gilt, existiert ein PPT B, der das DLog-Problem in G in Zeit t B t A mit Erfolgswkt. ɛ B ɛ A löst. Beweis: Ähnlich wie Beweis von DLog-Einmalsignatur (Theorem 28) 26 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

CH-Fkt. basierend auf dem RSA-Problem (Kap. 3.3.2) Gen(1 k ) : N = P Q, P, Q prim Primzahl e > 2 N mit ggt(e, ϕ(n)) = 1 d = e 1 mod ϕ(n) J Z N ch := (N, e, J) τ := d ch : Z N Z N Z N ch(m, r) := J m r e mod N 27 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

CH-Fkt. basierend auf dem RSA-Problem ch(m, r) := J m r e mod N TrapColl(τ, m, r, m ): 28 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

CH-Fkt. basierend auf dem RSA-Problem ch(m, r) := J m r e mod N TrapColl(τ, m, r, m ): Berechnet r wie folgt r = (J m m r e ) d mod N 28 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

CH-Fkt. basierend auf dem RSA-Problem ch(m, r) := J m r e mod N TrapColl(τ, m, r, m ): Berechnet r wie folgt r = (J m m r e ) d mod N ch(m, r) = J m r e mod N = J m (r ) e mod N = ch(m, r ) 28 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

CH-Fkt. basierend auf dem RSA-Problem: Sicherheit Theorem 42: Sei (N, e, y) eine Instanz des RSA-Problems, sodass e > 2 N eine Primzahl ist. Für jeden PPT A, der als Eingabe (N, e, J) erhält, in Zeit t A läuft und mit Erfolgswahrscheinlichkeit ɛ B ein Tupel (m, r, m, r ) mit (m, r) = (m, r ) und ch(m, r) = ch(m, r ) berechnet, existiert ein PPT B, der das RSA-Problem (mit e > 2 N und prim) in Zeit t B t A und Erfolgswkt. ɛ B ɛ A löst. Beweis: Ähnlich wie Beweis von RSA-Einmalsignatur (Theorem 30) 29 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

Socrative https://b.socrative.com/login/student/ Room: SIGNATUREN Wieviele Hashwerte gibt es für eine feste Nachricht bei CH-Fkts.? Wieviele Urbildtupel gibt es bei einem CH-Hashwert? Was ermöglicht die Trapdoor von CH-Fkts.? 30 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback