Digitale Signaturen. Wiederholung Gunnar Hartung, Björn Kaidel. FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale Signaturen Wiederholung Gunnar Hartung, Björn Kaidel FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft www.kit.edu

Inhalt Organisatorisches Wiederholung Signaturverfahren Sicherheitsbegriffe Einmal-Signaturen RSA-Signaturen Chamäleon-Hashfunktionen Pairing-basierte Signaturen Socrative: Space Race 1 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Prüfungen mündliche Prüfung einzeln oder als Teil einer Vertiefungsfach-Gesamtprüfung (nur SPO 2015) Termine individuell vergeben E-Mail an Björn und/oder Gunnar Prüfungsrelevant: Vorlesungsstoff, sofern nicht anders angegeben Sicherheitsbegriffe, Verfahren, Sicherheitseigenschaften, Sicherheitsbeweise (mindestens Grundideen), Bausteine, Hilfsmittel,... 2 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Prüfungen Vorsicht beim Lernen: Socrative-Fragen spiegeln keine Prüfungssituation wieder! Prüfung: freies Sprechen und Erklären Fragen enthalten weniger Kontext Empfehlenswert: Übungsaufgaben im Skript Beweise lesen, verstehen, dann selbst ohne weitere Hilfe wiedergeben Üben mit Kommilitonen/Freunden 3 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Inhalt Organisatorisches Wiederholung Signaturverfahren Sicherheitsbegriffe Einmal-Signaturen RSA-Signaturen Chamäleon-Hashfunktionen Pairing-basierte Signaturen Socrative: Space Race 4 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Einführung (I) - Kap. 1 Ziel: Kryptographische Verfahren, die das gleiche leisten, wie eine Unterschrift. Folgendes soll sichergestellt werden: Authentizität Dokument von einer bestimmten Person signiert Integrität signiertes Dokument ist unverändert 5 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Definition: Digitale Signaturen - Kap. 1.1 Def. 1: (Digitale Signaturen) Ein digitales Signaturverfahren ist ein Tupel Σ = (Gen, Sign, Vfy) von probabilistischen Poly-Zeit- Algorithmen: Gen(1 k ) (pk, sk) Sign(sk, m) σ, m {0, 1} p(k), p Polynom { 1, wenn σ gültig, Vfy(pk, m, σ) = 0, sonst Correctness: Das Verfahren funktioniert. Formal: (pk, sk) Gen(1 k ) m {0, 1} p(k) : Vfy(pk, m, Sign(sk, m)) = 1. 6 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Sicherheit - Kap. 1.2 Angreifermodell: Was kann der Angreifer? Welche Angriffsmöglichkeiten stehen zur Verfügung? Beispiele: NMA, 1-naCMA, 1-CMA, nacma, CMA Angreiferziel: Was muss der Angreifer tun, um das Verfahren zu brechen? Beispiele: UUF, SUF (diese VL), EUF, seuf Sicherheitsdefinition ˆ= Angreiferziel + Angreifermodell konkrete Sicherheitsdefinition über Sicherheitsexperimente Schema sicher, wenn alle Angreifer im Angreifermodell höchstens vernachlässigbare Erfolgschance im Sicherheitsexperiment haben 7 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Warum Annahmen? (Skript) Theorem: Sei Σ = (Gen, Sign, Vfy) ein Signaturverfahren. Ist Σ UUF-NMA-sicher, so gilt P = N P. 8 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Hand-then-Sign-Signaturen Hash-then-Sign-Signaturen: EUF-CMA-Signaturverfahren + koll. res. Hash-Funktion EUF-CMA-Signaturverfahren mit Nachrichtenraum {0, 1} Def. 15: (Kollisionsresistenz) Eine Hashfunktion H = (Gen H, Eval H ) ist kollisionsresistent, falls für alle t Gen H (1 k ) und alle PPT A gilt, dass Pr[A(1 k, t) = (x, x ) : H t (x) = H t (x ) x = x ] negl(k) für eine im Sicherheitsparameter k vernachlässigbare Funktion negl. 9 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Einmalsignaturen Hilfreicher Baustein für stärkere Verfahren. Einfach(er) zu konstruieren. Generisch auf Mehrmal -Signaturen erweiterbar. Beispiele: Lamport Dlog-basiert RSA-basiert 10 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Lamport-Signaturen Gen(1 k ) : Wähle x 1,0, x 1,1,..., x n,0, x n,1 zufällig aus {0, 1} k j {1,..., n} : y j,0 := f (x j,0 ) und y j,1 := f (x j,1 ) ( ) x1,0... x sk = n,0 x 1,1... x n,1 ( ) y1,0... y pk = n,0 y 1,1... y n,1 11 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Lamport-Signaturen Gen(1 k ) : Wähle x 1,0, x 1,1,..., x n,0, x n,1 zufällig aus {0, 1} k j {1,..., n} : y j,0 := f (x j,0 ) und y j,1 := f (x j,1 ) ( ) x1,0... x sk = n,0 x 1,1... x n,1 Sign(sk, m) : m = m 1 m 2... m n {0, 1} n σ = (x 1,m1, x 2,m2,..., x n,mn ) ( ) y1,0... y pk = n,0 y 1,1... y n,1 11 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Lamport-Signaturen Gen(1 k ) : Wähle x 1,0, x 1,1,..., x n,0, x n,1 zufällig aus {0, 1} k j {1,..., n} : y j,0 := f (x j,0 ) und y j,1 := f (x j,1 ) ( ) x1,0... x sk = n,0 x 1,1... x n,1 Sign(sk, m) : m = m 1 m 2... m n {0, 1} n σ = (x 1,m1, x 2,m2,..., x n,mn ) Vfy(pk, m, σ) : m = m 1... m n, σ = (x 1, x 2,..., x n) Überprüfe für alle i {1,..., n}, ob gilt: f (x i ) = y i,m i? ( ) y1,0... y pk = n,0 y 1,1... y n,1 11 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Einwegfunktion (Definition) Def. 22 (Einwegfunktion): Eine Funktion f ist eine Einwegfunktion, wenn f in Polynomialzeit berechenbar ist und für alle PPT A gilt, dass Pr[A(1 k, y := f (x)) = x : x {0, 1} k, f (x ) = y] negl(k) für eine in k vernachlässigbare Funktion negl. 12 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

DLog-Problem/-Annahme DLog-Problem: Sei G zyklische, endliche Gruppe, G = p prim. Geg. Erzeuger g und y G, finde x Z p : g x = y. 13 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

DLog-Problem/-Annahme DLog-Problem: Sei G zyklische, endliche Gruppe, G = p prim. Geg. Erzeuger g und y G, finde x Z p : g x = y. DLog-Annahme: PPT A gilt: Pr[A(1 k, g, g x ) = x : g = G zufällig, x Z p ] negl(k) für eine in k vernachlässigbare Funktion negl. 13 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

DLog-Einmalsignatur Σ = (Gen, Sign, Vfy) mit Nachrichtenraum Z p : Gen(1 k ) : Sign(sk, m) : Vfy(pk, m, σ) : x, ω Z p h := g x c := g ω pk = (g, h, c) sk = (x, ω) σ = ω m x c? = g m h σ Theorem 28: EUF-1-naCMA-sicher unter Dlog-Annahme (in G) 14 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Einmalsignaturen basierend auf RSA Setting: N = P Q, P, Q große Primzahlen ϕ(n) = (P 1)(Q 1) = ZN (Eulersche Phi-Funktion) Wähle zufällig e N, sodass ggt(e, ϕ(n)) = 1. Dann existiert d N mit e d 1 mod ϕ(n). Für x Z N gilt dann auch x e d x mod N. RSA-Problem: Geg. N, e und y Z N, finde x Z N : x e y mod N. RSA-Annahme: RSA-Problem schwer 15 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

RSA-Einmalsignaturen Gen(1 k ) : e > 2 n, e prim, mit ggt(e, ϕ(n)) = 1 d := e 1 mod ϕ(n) J, c Z N pk = (N, e, J, c) sk = d Sign(sk, m): Vfy(pk, m, σ) : σ ( c J m ) d mod N c? J m σ e mod N Theorem: EUF-1-naCMA-sicher unter RSA-Annahme. Beweis mit Shamirs Trick. 16 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Transformation Intuition: Σ (EUF-naCMA-sicher) + Σ (1) (EUF-1-naCMA-sicher) Σ (EUF-CMA-sicher) Signiert eigentliche Nachricht (unter pk (1) ) σ = ( pk (1), σ (1), σ ) zufälliger neuer Schlüssel Garantiert: pk (1) stammt vom Eigentümer von pk 17 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk 8 18 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Textbook-RSA Gen(1 k ) : Wähle P, Q, N, e, d geeignet pk = (N, e) sk = d Sign(sk, m) : σ := m d (mod N) Vfy(pk, m, σ) : σ e? = m (mod N) Sicherheit: nicht EUF-NMA-sicher nicht UUF-1-CMA-sicher UUF-NMA-sicher unter RSA-Annahme 19 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

RSA-basierte Signaturen Wie konstruiert man sichere RSA-basierte Signaturen? Häufig: geeignete Vorverarbeitung/Codierung von m RSA PKCS #1 v1.5 (Kap. 6.3) RSA-FDH (Full Domain Hash, Kap. 4.2) RSA-PSS (Probabilistic Signature Scheme, Skript) Andere Ansätze: Gennaro-Halevi-Rabin-Signaturverfahren (Kap. 4.3): EUF-naCMA-sicher unter strong-rsa-annahme Hohenberger-Waters-Signaturverfahren (Kap. 4.4, diese VL): auf Basis von GHR, aber wieder unter RSA-Annahme 20 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

RSA PKCS #1 v1.5 (Kap. 6.3) Sign(sk, m) : sei H eine kollisionsresistente Hashfunktion. codiere m als m := 0x00 0x01 0xFF... 0xFF 0x00 Angabe von H H(m) σ := (m ) d (mod N) Vfy(pk, m, σ) : berechne m := σ e (mod N) prüfe, ob m korrekte Codierung für m Sicherheit: kein Angriff oder Sicherheitsbeweis bekannt 21 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

RSA PKCS #1 v1.5 (Kap. 6.3) Sign(sk, m) : sei H eine kollisionsresistente Hashfunktion. codiere m als Padding Welche Hashfkt.? m := 0x00 0x01 0xFF... 0xFF 0x00 Angabe von H H(m) Typ der Codierung: Signatur σ := (m ) d (mod N) Vfy(pk, m, σ) : berechne m := σ e (mod N) prüfe, ob m korrekte Codierung für m Trenner Sicherheit: kein Angriff oder Sicherheitsbeweis bekannt Hash-Wert 21 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

RSA-FDH sei H := {0, 1} Z N eine kollisionsresistente Hash-Funktion Idee: Signiere H(m) mit Textbook-RSA Konkret: Sign(sk, m) : Vfy(pk, m, σ) : σ := H(m) d (mod N) σ e? H(m) (mod N) Sicherheit: EUF-CMA-sicher unter RSA-Annahme im ROM 22 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Random-Oracle-Modell (ROM) Heuristik betrachte idealisierte Hash-Funktion H Ausgabe von H(m) gleichverteilt zufällig für jede Eingabe m H modelliert als Orakel, das die Hashwerte ausgibt ( Random Oracle ) Das H-Orakel: besitzt einen internen Key-Value-Store T implementiert folgenden Algorithmus : if m in T : return T [m] else: y Z N T [m] := y return y 23 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Random-Oracle-Modell (ROM): Diskussion manche kryptographischen Probleme nur im ROM lösbar Lösungen im ROM oft effizienter als Lösungen im Standardmodell Beispiel: RSA-basierte Signaturen Lösungen im ROM oft einfacher zu konstruieren Vorstufe zur Lösung im Standardmodell für viele Konstruktionen im ROM sind keine realen Angriffe bekannt Es existieren kryptographische Konstruktionen, die im ROM als sicher bewiesen werden können, aber mit jeder realen Hash-Funktion unsicher sind. Aber: diese Konstruktionen sind sehr künstlich ROM insgesamt umstritten 24 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

RSA-PSS RSA-basiertes Signaturverfahren [BR96] Vorverarbeitung von m Sign(sk, m) : σ := PSS-Encode(m) d (mod N) PSS-Encoding: siehe [BR96] Vfy(pk, m, σ) : Berechne y = σ e (mod N) gib 1 aus, gdw. y gültige Codierung von m ist Sicherheit: EUF-CMA-sicher im ROM unter RSA-Annahme Sicherheitsbeweis mit geringerem Verlust 25 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Parameterwahl für Kryptosysteme Ziel-Sicherheitslevel: Jeder Angreifer A, der höchstens... t A Rechenoperationen durchführen kann, q Signaturen kennt, q H Hashwerte berechnen kann, soll Erfolgswkt. höchstens ɛ haben. Konkretere Annahme: Es gibt keinen Las-Vegas-Algorithmus C, der die Annahme schneller bricht als mit erwarteter Laufzeit t(n) beinhaltet Annahme über PPT-Algorithmen: gegeben PPT-Algorithmus B mit Laufzeit t B und Erfolgswkt. ɛ B konstruiere Las-Vegas-Algorithmus C: repeat solution B(N) until solution is correct erwartete Laufzeit: 1 ɛb t B 26 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Parameterwahl Sicherheitsbeweis konvertiert Angreifer A gegen Signaturverfahren in Angreifer gegen Annahme B t B f (t A,...) ɛ B g(ɛ A, q,...) wähle n groß genug, sodass t(n) > 1 f (t,...) g(ɛ, q,...) Angenommen es existiert ein Angreifer A, der das Signaturverfahren mit den vorgegebenen Ressourcen bricht, konstruiere B, dann C: t C = ɛ 1 1 t B B g(ɛ A,q A,...) f (t A,...) 1 f (t,...) falls f, g monoton g(ɛ,q,...) < t(n) Widerspruch! 27 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Parameterwahl für Kryptosysteme Bester bekannter Angriff gegen RSA: Faktorisieren von N Neu-Berechnen von ϕ(n) = (P 1)(Q 1), d := e 1 mod ϕ(n) Secret Key bekannt Bester bekannter (klassischer) Faktorisierungalgorithmus: allgemeines Zahlkörpersieb (General Number Field Sieve, GNFS) superpolynomielle, aber subexponentielle Laufzeit 28 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Strong-RSA-Annahme Strong-RSA-Problem: Geg. N geeignet und y Z N, finde x Z N und e N, e > 1 mit x e y mod N. Unterschied RSA-Problem: e hier vom Angreifer wählbar. RSA-Problem: e vorgegeben. Strong-RSA-Annahme: Strong-RSA-Problem schwer Bemerkung: Strong-RSA-Problem leichter als RSA-Problem Strong-RSA-Annahme deshalb stärker als RSA-Annahme 29 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Genaro-Halevi-Rabin Signaturen (Kap. 4.3.2) Es sei h : {0, 1} P eine Hashfunktion (P = Primzahlen) Gen(1 k ) : erstelle N = P Q, P, Q prim und zufällig s Z N pk := (N, s, h) sk := ϕ(n) = (P 1)(Q 1) Sign(sk, m) : σ := s 1/h(m) mod N Vfy(pk, m, σ) : σ h(m)? s mod N Sicherheit: EUF-naCMA-sicher unter RSA-Annahme im Standardmodell Transformation mit GHR und RSA-Einmalsignatur EUF-CMA-sicher 30 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Chamäleon-Signaturen: Motivation Händler Kunde Händler 2 31 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Chamäleon-Signaturen: Motivation Angebot? Händler Kunde 100$, σ 1 Händler 2 31 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Chamäleon-Signaturen: Motivation Angebot? Händler Kunde 100$, σ 1 100$, σ 1 99$, σ 2 Händler 2 31 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Chamäleon-Signaturen: Motivation Angebot? Händler Kunde 100$, σ 1 100$, σ 1 99$, σ 2 Händler 2 Signaturen, die Dritte Parteien nicht überzeugen? 31 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Chamäleon-Hashfunktionen (Definition) Def. (Chamäleon-Hashfunktion): Eine Chamäleon-Hashfunktion CH besteht aus zwei PPT-Algorithmen (Gen CH, TrapColl CH ): Gen CH (1 k ) : gibt (ch, τ) aus, wobei: ch ist eine Funktion ch : M R N τ eine Trapdoor ( Falltür ) ist. TrapColl CH (τ, m, r, m ) berechnet r R, sodass ch(m, r) = ch(m, r ) Wer τ kennt, kann Kollisionen berechnen Daher der Name Chamäleon -Hashfunktion Ausgabe wechselt ihr Urbild wechselt ihre Farbe 32 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Chamäleon-Signaturen (Kap. 3.4) CH = (Gen CH, TrapColl CH ) CH-Fkt., ch : M R N Signatur Σ = (Gen, Sign, Vfy ) Konstruiere Chamäleon-Signatur Σ = (Gen, Sign, Vfy) Gen(1 k ) : (pk, sk ) Gen (1 k ) pk := pk, sk := sk Sign(sk, m, ch) : (ch ist CH-Fkt. des Empfängers) r R, ch(m, r) =: y σ := Sign (sk, y) σ := (σ, r) Vfy(pk, m, σ, ch) : Vfy (pk, ch(m, r), σ )? = 1 33 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Chamäleon-Signaturen: Sicherheitsmodell (Skript) Falls A CH-Fkt. beim Signieren selbst wählen kann, könnte ihm das beim Fälschen einer Signatur helfen. Zwei Sicherheitsdefinitionen, mit und ohne Kontrolle über die CH-Funktion 34 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Transformation CH zu Einmalsignatur Gen(1 k ) : (ch, τ) Gen ch (1 k ) ( m, r) M R c := ch( m, r) pk := (ch, c), sk := (τ, m, r) Sign(sk, m) : r := TrapColl CH (τ, m, r, m) σ := r Vfy(pk, m, σ) : c? = ch(m, σ) Theorem 47: Σ ist EUF-1-naCMA-sicher, wenn CH kollisionsresistent ist. 35 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Chamäleon-Hashfunktionen Konstruktionen von Chamäleon-Hashfunktionen: basierend auf RSA oder Dlog, analog zu Einmalsignaturverfahren Ergebnis der Transformation auf RSA-, Dlog-CH ergibt bekannte RSA-, Dlog-Einmalsignaturen 36 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Transformationen: Übersicht (Skript) EUF-naCMA EUF-1-naCMA 37 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Transformationen: Übersicht (Skript) EUF-naCMA EUF-1-naCMA EUF-CMA 37 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Transformationen: Übersicht (Skript) CH EUF-naCMA EUF-1-naCMA EUF-CMA 37 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Transformationen: Übersicht (Skript) CH EUF-naCMA EUF-1-naCMA EUF-CMA seuf-cma 37 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Transformationen: Übersicht (Skript) dieses Jahr nicht besprochen SUF-naCMA EUF-naCMA EUF-1-naCMA CH EUF-CMA seuf-cma 37 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Pairings Definition 78 (Pairings): Seien G 1, G 2, G T zyklische Gruppen mit Ordnung p prim. Ein Pairing (bilineare Abbildung) ist eine Abbildung e : G 1 G 2 G T mit den Eigenschaften: 1) Bilinearität: g 1, g 1 G 1, g 2, g 2 G 2 : e(g 1 g 1, g 2) = e(g 1, g 2 ) e(g 1, g 2) e(g 1, g 2 g 2 ) = e(g 1, g 2 ) e(g 1, g 2 ) e(g a 1, g 2) = e(g 1, g 2 ) a = e(g 1, g a 2 ) 2) Nicht-Degeneriertheit: g 1 G 1, g 2 G 2 Erzeuger = e(g 1, g 2 ) Erzeuger G T 3) Effiziente Berechenbarkeit 38 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

BLS-Signaturen Gen(1 k ) : sk := x Z p pk = (g, g x ) Sign(sk, m) : σ := H(m) x G Vfy(pk, m, σ) : e(h(m), g x )? = e(σ, g) Sicherheit: EUF-CMA-sicher unter CDH-Annahme im ROM Beweis analog zu RSA-FDH 39 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Das Computational Diffie-Hellman Problem CDH-Problem: Sei g ein zufälliger Erzeuger und x, y Z p. Geg. (g, g x, g y ), berechne g xy. CDH-Annahme: CDH-Problem schwer Anm.: Annahme bezieht sich immer auf konkreten Gruppentyp, Gruppe abhängig von k 40 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

BLS-Signaturen: Eigenschaften Vorteile: einfach effiziente Algorithmen Kurze Signaturen EUF-CMA-sicher unter der CDH-Annahme Nachteile: Sicherheitsbeweis nur im Random Oracle Modell 41 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

BLS-Signaturen: Eigenschaften Vorteile: einfach effiziente Algorithmen Kurze Signaturen EUF-CMA-sicher unter der CDH-Annahme Aggregierbar und Batch-Verifizierbar Nachteile: Sicherheitsbeweis nur im Random Oracle Modell 41 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Waters-Signaturen Gen(1 k ): wähle g α G, κ Gen PHF (g). Setze sk = g α, pk = (g, κ, e(g, g α )). Sign(sk, m): wähle r Z p. Berechne Setze σ = (σ 1, σ 2 ). Vfy(pk, m, σ): Prüfe ob σ 1 := g r σ 2 := g α H κ (m) r. e(g, σ 2 )? = e(g, g) α e(σ 1, H κ (m)) Sicherheit: EUF-CMA-sicher unter CDH-Annahme im Standardmodell zentrales Werkzeug: Programmierbare Hashfunktionen (PHF) 42 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Programmierbare Hashfunktionen Intuition: Hashfunktion H κ : {0, 1} l G Zusatzinformation mit Trapdoor: Zerlegung (a, b) von H κ (m). h a g b = H κ (m) Wenn (κ, τ) TrapGen(g, h) ist für alle m 1,..., m v, m 1,..., m w a i = 0 für alle m i a j = 0 für alle m j, mindestens mit Wahrscheinlichkeit γ. (Wohlverteilung) κ hat bei Erstellung mit und ohne Trapdoor die selbe Verteilung. 43 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Inhalt Organisatorisches Wiederholung Signaturverfahren Sicherheitsbegriffe Einmal-Signaturen RSA-Signaturen Chamäleon-Hashfunktionen Pairing-basierte Signaturen Socrative: Space Race 44 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Socrative: Space Race Image: CC-BY-2.0 by Robert Scoble via Wikipedia 45 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Socrative: Space Race https://b.socrative.com/login/student/ Room: SIGNATUREN 46 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

Ende Vielen Dank für eure Aufmerksamkeit. Viel Erfolg für die Prüfung! FIN 47 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung

References I M. Bellare und P. Rogaway. The Exact Security of Digital Signatures-How to Sign with RSA and Rabin. In: Advances in Cryptology EUROCRYPT 96: International Conference on the Theory and Application of Cryptographic Techniques Saragossa, Spain, May 12 16, 1996 Proceedings. Hrsg. von U. Maurer. Berlin, Heidelberg: Springer Berlin Heidelberg, 1996, S. 399 416. DOI: 10.1007/3-540-68339-9_34. URL: http://dx.doi.org/10.1007/3-540-68339-9_34. 48 2017-02-10 G. Hartung Digitale Signaturen: Wiederholung