Digitale Signaturen GHR-und Chamäleon-Signaturen Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft www.kit.edu
Socrative: Wiederholung https://b.socrative.com/login/student/ Room: SIGNATUREN Was besagt die RSA-Annahme? Was ist Shamirs Trick? Welche Sicherheitsbegriffe erfüllt RSA-PSS? 1 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Socrative vom letzten Mal Bei Bezug auf die aktuell besten Algorithmen ist es doch weiterhin möglich, dass z.b. geheime Algorithmen besser sind? 2 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Socrative vom letzten Mal Bei Bezug auf die aktuell besten Algorithmen ist es doch weiterhin möglich, dass z.b. geheime Algorithmen besser sind? Ja, natürlich! Solang Annahme gilt, wissen wir aber, dass zumindest kein PPT-Angreifer existiert. Es ist aber auch denkbar, dass Annahmen gebrochen werden. (Erinnerung: Zusammenhang zu P & NP etc....) Aber irgendwie müssen wir die Parameter ja wählen :) Außerdem: Wir hatten ja aufgerundet 2 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Socrative vom letzten Mal Bei Bezug auf die aktuell besten Algorithmen ist es doch weiterhin möglich, dass z.b. geheime Algorithmen besser sind? Ja, natürlich! Solang Annahme gilt, wissen wir aber, dass zumindest kein PPT-Angreifer existiert. Es ist aber auch denkbar, dass Annahmen gebrochen werden. (Erinnerung: Zusammenhang zu P & NP etc....) Aber irgendwie müssen wir die Parameter ja wählen :) Außerdem: Wir hatten ja aufgerundet Ist RSA-PSS Prüfungsrelevant? Ja, der Sicherheitsbeweis aber nicht (Generell: Alles aus der VL prüfungsrelevant, außer ich sage explizit etwas anderes) 2 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Socrative vom letzten Mal Sagt man wirklich tight? 3 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Socrative vom letzten Mal Sagt man wirklich tight? Ja! https://scholar.google.de/scholar?q=tight+reduction https://scholar.google.de/scholar?q=tight+crypto 3 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Inhalt Genaro-Halevi-Rabin Signaturen (Kap 4.3) Chamäleon-Hashfunktionen (Kap. 3) 4 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
RSA-Signaturen: Probleme Bisher betrachtete Verfahren nur im Random-Oracle Modell sicher Offenes Problem: EUF-CMA-sichere Signatur basierend auf RSA-Annahme, dass effizient (d.h. in Praxis verwendbar) ist und kein Random-Oracle benötigt. Abhilfe : Strong-RSA-Annahme 5 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Strong-RSA-Annahme RSA-Problem: Geg. N, e geeignet und y Z N, finde x Z N mit x e y mod N. RSA-Annahme: PPT A gilt: [ Pr A(1 k, N, e, y) = x : für eine in k vernachlässigbare Funktion negl. N = P Q, e Z ϕ(n), ] y Z N, x e negl(k) y mod N 6 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Strong-RSA-Annahme Strong-RSA-Problem: Geg. N geeignet und y Z N, finde x Z N und e N, e > 1 mit x e y mod N. Strong-RSA-Annahme: PPT A gilt: [ Pr A(1 k, N, y) = (x, e) : für eine in k vernachlässigbare Funktion negl. ] N = P Q, e > 1, y Z N, x e negl(k) y mod N 6 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Strong-RSA: Begriffsverwirrung Strong-RSA-Annahme stärker als RSA-Annahme Wir erlauben dem Angreifer mehr Kontrolle bzw. schwächen seine Gewinnbedingung ab Dadurch nehmen wir mehr an, da wir annehmen, dass es für den Angreifer immer noch schwierig ist, zu gewinnen. 7 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Strong-RSA: Begriffsverwirrung Strong-RSA-Annahme stärker als RSA-Annahme Wir erlauben dem Angreifer mehr Kontrolle bzw. schwächen seine Gewinnbedingung ab Dadurch nehmen wir mehr an, da wir annehmen, dass es für den Angreifer immer noch schwierig ist, zu gewinnen. Strong-RSA-Problem schwächer als RSA-Problem Gewinnbedingung vereinfacht, Problem damit (potentiell) einfacher 7 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Strong-RSA: Begriffsverwirrung Strong-RSA-Annahme stärker als RSA-Annahme Wir erlauben dem Angreifer mehr Kontrolle bzw. schwächen seine Gewinnbedingung ab Dadurch nehmen wir mehr an, da wir annehmen, dass es für den Angreifer immer noch schwierig ist, zu gewinnen. Strong-RSA-Problem schwächer als RSA-Problem Gewinnbedingung vereinfacht, Problem damit (potentiell) einfacher Strong-RSA-Annahme RSA-Annahme, Umkehrung unklar 7 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Genaro-Halevi-Rabin Signaturen (Kap. 4.3.2) Es sei h : {0, 1} P eine Hashfunktion (P = Primzahlen) 8 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Genaro-Halevi-Rabin Signaturen (Kap. 4.3.2) Es sei h : {0, 1} P eine Hashfunktion (P = Primzahlen) Gen(1 k ) : erstelle N = P Q, P, Q prim und zufällig s Z N Wähle h so, dass für alle m gilt, dass ggt(h(m), ϕ(n)) = 1 pk := (N, s, h) sk := ϕ(n) = (P 1)(Q 1) 8 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Genaro-Halevi-Rabin Signaturen (Kap. 4.3.2) Es sei h : {0, 1} P eine Hashfunktion (P = Primzahlen) Gen(1 k ) : erstelle N = P Q, P, Q prim und zufällig s Z N Wähle h so, dass für alle m gilt, dass ggt(h(m), ϕ(n)) = 1 pk := (N, s, h) sk := ϕ(n) = (P 1)(Q 1) Sign(sk, m) : σ := s 1/h(m) mod N 8 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Genaro-Halevi-Rabin Signaturen (Kap. 4.3.2) Es sei h : {0, 1} P eine Hashfunktion (P = Primzahlen) Gen(1 k ) : erstelle N = P Q, P, Q prim und zufällig s Z N Wähle h so, dass für alle m gilt, dass ggt(h(m), ϕ(n)) = 1 pk := (N, s, h) sk := ϕ(n) = (P 1)(Q 1) Sign(sk, m) : σ := s 1/h(m) mod N Vfy(pk, m, σ) : σ h(m)? s mod N 8 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Genaro-Halevi-Rabin Signaturen (Kap. 4.3.2) Es sei h : {0, 1} P eine Hashfunktion (P = Primzahlen) Gen(1 k ) : erstelle N = P Q, P, Q prim und zufällig s Z N Wähle h so, dass für alle m gilt, dass ggt(h(m), ϕ(n)) = 1 pk := (N, s, h) sk := ϕ(n) = (P 1)(Q 1) Sign(sk, m) : σ := s 1/h(m) mod N Vfy(pk, m, σ) : σ h(m)? s mod N ( : Ist möglich, wir gehen nicht weiter darauf ein.) 8 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
GHR-Signaturen: Sicherheit Theorem 70: Für jeden PPT-Angreifer A der die EUF-naCMA-Sicherheit von Σ in Zeit t A mit Erfolgswahrscheinlichkeit ɛ A bricht, existiert ein PPT-Angreifer B, der in Zeit t B t A läuft und entweder die Kollisionsresistenz von h bricht mit Erfolgswahrscheinlichkeit ɛ coll ɛ A /2, oder das Strong-RSA-Problem löst mit Erfolgswahrscheinlichkeit ɛ srsa ɛ A /2. 9 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
GHR-Signaturen: Beweis EUF-naCMA: Seien m 1,..., m q die Anfragen und (m, σ ) die Ausgabe von A Zwei Ereignisse: E 0 : Es existiert m i mit h(m i ) = h(m ). E 1 : Für alle i {1,..., q} gilt h(m i ) = h(m ) 10 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
GHR-Signaturen: Beweis EUF-naCMA: Seien m 1,..., m q die Anfragen und (m, σ ) die Ausgabe von A Zwei Ereignisse: E 0 : Es existiert m i mit h(m i ) = h(m ). E 1 : Für alle i {1,..., q} gilt h(m i ) = h(m ) A ruft E 0 oder E 1 hervor, also gilt ɛ A Pr[E 0 ] + Pr[E 1 ] Pr[E 0 ] ɛ A /2 oder Pr[E 1 ] ɛ A /2 10 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
GHR-Signaturen: Beweis - Ereignis E 0 E 0 : Es existiert m i mit h(m i ) = h(m ). m i und m sind h-kollision. Reduziere auf Kollisionsresistenz von h. B erhält als Eingabe h, zieht (pk, sk) Gen(1 k ), simuliert A,... 11 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
GHR-Signaturen: Beweis - Ereignis E 1 E 1 : Für alle i {1,..., q} gilt h(m i ) = h(m ). Reduziere auf Strong-RSA-Annahme. Annahme: Es existiert PPT A,...... konstruiere B... 12 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
GHR-Signaturen: Beweis - Ereignis E 1 E 1 : Für alle i {1,..., q} gilt h(m i ) = h(m ). Reduziere auf Strong-RSA-Annahme. Annahme: Es existiert PPT A,...... konstruiere B... B erhält als Eingabe (N, y) und muss (x, e) finden mit e > 1 x e y mod N. 12 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
GHR-Signaturen: srsa-reduktion Erinnerung: Gen(1 k ) : s Z N pk := (N, s, h) sk := ϕ(n) σ = s 1/h(m) mod N B verwendet (N, y) und setzt s := y Π i {1,...,q} h(m i ) mod N 13 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
GHR-Signaturen: srsa-reduktion Erinnerung: Gen(1 k ) : s Z N pk := (N, s, h) sk := ϕ(n) σ = s 1/h(m) mod N B verwendet (N, y) und setzt s := y Π i {1,...,q} h(m i ) mod N ( stellt sicher, dass s korrekt verteilt ist!) 13 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
GHR-Signaturen: srsa-reduktion Erinnerung: Gen(1 k ) : s Z N pk := (N, s, h) sk := ϕ(n) σ = s 1/h(m) mod N B verwendet (N, y) und setzt s := y Π i {1,...,q} h(m i ) mod N ( stellt sicher, dass s korrekt verteilt ist!) Signatur für Nachricht m j : σ j := y Π i {1,...,q}\{j} h(m i ) mod N 13 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
GHR-Signaturen: srsa-reduktion - Fälschung E 1 tritt ein: A gibt gültige Fälschung (m, σ ) aus mit h(m ) = h(m i ) für alle i {1,..., q}, und (σ ) h(m ) s y Π i {1,...,q} h(m i ) mod N Zusätzlich gilt: ggt(h(m ), Π i {1,...,q} h(m i )) = 1, da h auf Primzahlen abbildet und E 1 eingetreten ist. 14 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
GHR-Signaturen: Shamirs Trick (σ ) h(m ) s y Π i {1,...,q} h(m i ) mod N 15 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
GHR-Signaturen: Shamirs Trick (σ ) h(m ) s y Π i {1,...,q} h(m i ) mod N Lemma 31: Seien J, S Z N und e, f aus Z, sodass ggt(e, f ) = 1 und J f S e mod N, dann gibt es einen effizienten Algorithmus, der gegeben N Z und (J, S, e, f ) Z 2 N Z2 ein x Z N berechnet, sodass x e J mod N. 15 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
GHR-Signaturen: Shamirs Trick (σ ) h(m ) s y Π i {1,...,q} h(m i ) mod N Lemma 31: Seien J= y, S= σ Z N und e= h(m ), f = Π i {1,...,q} h(m i ) aus Z, sodass ggt(e, f ) = 1 und J f S e mod N, dann gibt es einen effizienten Algorithmus, der gegeben N Z und (J, S, e, f ) Z 2 N Z2 ein x Z N berechnet, sodass x e J mod N. x h(m ) y mod N Also: (x, h(m )) ist gesuchte Lösung der srsa-instanz. 15 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Ziel: EUF-CMA basierend auf RSA Kapitel 4.4 kein Teil der Vorlesung. Inhalt dort: Konstruktion einer EUF-CMA-sicheren Signatur basierend auf dem RSA-Problem. (Ohne Random Oracle!) Generelles Vorgehen: Zeige: GHR-Signaturen unter RSA-Annahme selektiv sicher. Transformation: Selektive Sicherheit EUF-naCMA Wende darauf ein paar Modifikationen an (zur Effizienzsteigerung) Führt zu EUF-naCMA-sicheren Hohenberger-Waters-Signaturen Transformation: EUF-naCMA EUF-CMA 16 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Offene Probleme Konstruktion einer effizenten EUF-CMA-sicheren Signatur basierend auf dem RSA-Problem Hohenberger-Waters Verfahren sehr ineffizient In jedem Schritt müssen viele Primzahlen gefunden werden. 17 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Socrative 18 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen https://b.socrative.com/login/student/ Room: SIGNATUREN Zusammenhang: RSA-, srsa-, Faktorisierungsannahme? Existieren Hashftk. die auf Primzahlen abbilden? Warum braucht man bei GHR eine Hashfkt. die auf Primzahlen abbildet? Auf was wird bei GHR reduziert?
Chamäleon-Signaturen: Motivation (Kap. 3.1) Händler Kunde Händler 2 19 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Chamäleon-Signaturen: Motivation (Kap. 3.1) Angebot? Händler Kunde 100$, σ 1 Händler 2 19 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Chamäleon-Signaturen: Motivation (Kap. 3.1) Angebot? Händler Kunde 100$, σ 1 100$, σ 1 99$, σ 2 Händler 2 19 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Chamäleon-Signaturen: Ziel Frage: Können wir ein Signaturverfahren konstruieren, sodass...... K die Authentizität des Angebots von H 1 verifizieren kann, aber... K den Händler H 2 nicht davon überzeugen kann, dass das Angebot von H 1 kam? 20 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Chamäleon-Hashfunktionen (Definition) (Kap. 3.2) Def. (Chamäleon-Hashfunktion): Eine Chamäleon-Hashfunktion CH besteht aus zwei PPT-Algorithmen (Gen CH, TrapColl CH ): 21 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Chamäleon-Hashfunktionen (Definition) (Kap. 3.2) Def. (Chamäleon-Hashfunktion): Eine Chamäleon-Hashfunktion CH besteht aus zwei PPT-Algorithmen (Gen CH, TrapColl CH ): Gen CH (1 k ) : gibt (ch, τ) aus: ch ist eine Funktion ch : M R N M Nachrichtenraum R Zufallsraum N Zielraum M, R, N abhängig von konkreter CH! τ ist eine Trapdoor ( Falltür ). 21 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Chamäleon-Hashfunktionen (Definition - II) TrapColl CH (τ, m, r, m ) für (m, r, m ) M R M berechnet r R, sodass ch(m, r) = ch(m, r ) 22 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Chamäleon-Hashfunktionen (Definition - II) TrapColl CH (τ, m, r, m ) für (m, r, m ) M R M berechnet r R, sodass ch(m, r) = ch(m, r ) Wer τ kennt, kann Kollisionen berechnen Daher der Name Chamäleon -Hashfunktion Ausgabe wechselt ihr Urbild wechselt ihre Farbe 22 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Chamäleon-Hashfunktionen (Definition - II) TrapColl CH (τ, m, r, m ) für (m, r, m ) M R M berechnet r R, sodass ch(m, r) = ch(m, r ) Wer τ kennt, kann Kollisionen berechnen Daher der Name Chamäleon -Hashfunktion Ausgabe wechselt ihr Urbild wechselt ihre Farbe Anm.: Häufig wird verlangt, dass r quasi gleichverteilt ist (spielt in der VL keine Rolle) 22 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Kollisionsresistenz Def. 39 (Kollisionsresistenz für Chamäleon-Hashfkt.): Eine Chamäelon-Hashfunktion CH = (Gen CH, TrapColl CH ) ist kollisionsresistent, falls für alle PPT A gilt, dass 23 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Kollisionsresistenz Def. 39 (Kollisionsresistenz für Chamäleon-Hashfkt.): Eine Chamäelon-Hashfunktion CH = (Gen CH, TrapColl CH ) ist kollisionsresistent, falls für alle PPT A gilt, dass [ (ch, τ) GenCH (1 Pr k ) A(1 k, ch) = (m, r, m, r ) : ch(m, r) = ch(m, r ] ) (m, r) = (m, r negl(k) ) für eine im Sicherheitsparameter k vernachlässigbare Funktion negl. 23 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
CH-Fkt. basierend auf DLog (Kap. 3.3.1) Wie immer: G Gruppe, G = p prim, g Erzeuger von G 24 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
CH-Fkt. basierend auf DLog (Kap. 3.3.1) Wie immer: G Gruppe, G = p prim, g Erzeuger von G Gen(1 k ) : x Z p h := g x ch := (g, h) τ := x 24 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
CH-Fkt. basierend auf DLog (Kap. 3.3.1) Wie immer: G Gruppe, G = p prim, g Erzeuger von G Gen(1 k ) : x Z p h := g x ch := (g, h) τ := x ch beschreibt Funktion: ch : Z p Z p G ch(m, r) := g m h r 24 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
CH-Fkt. basierend auf DLog ch(m, r) = g m h r TrapColl(τ, m, r, m ) : 25 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
CH-Fkt. basierend auf DLog ch(m, r) = g m h r TrapColl(τ, m, r, m ) : Berechnet r, sodass m + x r m + x r modp 25 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
CH-Fkt. basierend auf DLog ch(m, r) = g m h r TrapColl(τ, m, r, m ) : Berechnet r, sodass r m + x r m + x r = m m x modp + r modp 25 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
CH-Fkt. basierend auf DLog ch(m, r) = g m h r TrapColl(τ, m, r, m ) : Berechnet r, sodass Damit folgt: r m + x r m + x r = m m x modp + r modp ch(m, r) = g m h r = g m+xr = g m +xr = g m h r = ch(m, r ) 25 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
CH-Fkt. basierend auf DLog - Sicherheit Theorem 40: Für jeden PPT A, der als Eingabe ch = (g, h) Gen(1 k ) erhält, in Zeit t A läuft und mit Erfolgswahrscheinlichkeit ɛ A ein Tupel (m, r, m, r ) ausgibt, sodass (m, r) = (m, r ) und ch(m, r) = ch(m, r ) gilt, existiert ein PPT B, der das DLog-Problem in G in Zeit t B t A mit Erfolgswkt. ɛ B ɛ A löst. Beweis: Ähnlich wie Beweis von DLog-Einmalsignatur (Theorem 28) 26 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
CH-Fkt. basierend auf dem RSA-Problem (Kap. 3.3.2) Gen(1 k ) : N = P Q, P, Q prim Primzahl e > 2 N mit ggt(e, ϕ(n)) = 1 d = e 1 mod ϕ(n) J Z N ch := (N, e, J) τ := d ch : Z N Z N Z N ch(m, r) := J m r e mod N 27 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
CH-Fkt. basierend auf dem RSA-Problem ch(m, r) := J m r e mod N TrapColl(τ, m, r, m ): 28 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
CH-Fkt. basierend auf dem RSA-Problem ch(m, r) := J m r e mod N TrapColl(τ, m, r, m ): Berechnet r wie folgt r = (J m m r e ) d mod N 28 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
CH-Fkt. basierend auf dem RSA-Problem ch(m, r) := J m r e mod N TrapColl(τ, m, r, m ): Berechnet r wie folgt r = (J m m r e ) d mod N ch(m, r) = J m r e mod N = J m (r ) e mod N = ch(m, r ) 28 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
CH-Fkt. basierend auf dem RSA-Problem: Sicherheit Theorem 42: Sei (N, e, y) eine Instanz des RSA-Problems, sodass e > 2 N eine Primzahl ist. Für jeden PPT A, der als Eingabe (N, e, J) erhält, in Zeit t A läuft und mit Erfolgswahrscheinlichkeit ɛ B ein Tupel (m, r, m, r ) mit (m, r) = (m, r ) und ch(m, r) = ch(m, r ) berechnet, existiert ein PPT B, der das RSA-Problem (mit e > 2 N und prim) in Zeit t B t A und Erfolgswkt. ɛ B ɛ A löst. Beweis: Ähnlich wie Beweis von RSA-Einmalsignatur (Theorem 30) 29 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen
Socrative https://b.socrative.com/login/student/ Room: SIGNATUREN Wieviele Hashwerte gibt es für eine feste Nachricht bei CH-Fkts.? Wieviele Urbildtupel gibt es bei einem CH-Hashwert? Was ermöglicht die Trapdoor von CH-Fkts.? 30 2017-12-15 B. Kaidel Digitale Signaturen: GHR- und Chamäleon-Signaturen