Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren Einmalsignaturen Björn Kaidel (Vertretung für Prof. Müller-Quade) FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK 0 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen KIT Die Forschungsuniversität in der Helmholtz-Gemeinschaft www.kit.edu

Hinweis: Folien Folien stammen zum Großteil aus VL Digitale Signaturen Kapitelnummern usw. beziehen sich auf Skript dieser Vorlesung 1 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Inhalt Einmalsignaturen (Kap. 2) Einmalsignaturen aus Einwegfkt. (Kap 2.2) 2 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Einmalsignaturen Generelles Ziel: Signaturen, die viele Nachrichten signieren können. Vorstufe: Signaturen, die nur eine Nachricht sicher signieren können. Genannt Einmalsignaturen. 3 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Einmalsignaturen Generelles Ziel: Signaturen, die viele Nachrichten signieren können. Vorstufe: Signaturen, die nur eine Nachricht sicher signieren können. Genannt Einmalsignaturen. Achtung: Können auch mehrmals verwendet werden...... werden dann aber evtl. unsicher! Also: Keine Sicherheitssaussage mehr bei mehrfacher Verwendung. 3 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

EUF-1-CMA C EUF-1-CMA pk A m σ m, σ Vfy(pk, m, σ ) = 1 m = m? Rest (Def., Gewinnbedingung etc.): Analog zu normaler EUF-CMA-Def. 4 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Warum Einmalsignaturen? Hilfreicher Baustein für stärkere Verfahren. Einfach(er) zu konstruieren. Generisch auf Mehrmal -Signaturen erweiterbar. 5 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Einwegfunktionen Einwegfunktion f : {0, 1} {0, 1} Idee: Geg. x {0, 1} ist f (x) leicht/effizient berechenbar. Geg. y = f (x) ist es schwer f 1 (y) zu berechnen. Anm: Einwegfunktion sind ein grundlegender Krypto-Baustein! 6 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Einwegfunktionen-Sicherheitsexperiment C Einweg A 7 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Einwegfunktionen-Sicherheitsexperiment x {0, 1} k y := f (x) C Einweg y A 7 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Einwegfunktionen-Sicherheitsexperiment x {0, 1} k y := f (x) C Einweg y A x f (x ) = y? A gewinnt, falls f (x ) = y. 7 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Einwegfunktionen-Sicherheitsexperiment x {0, 1} k y := f (x) C Einweg y A x f (x ) = y? A gewinnt, falls f (x ) = y. Anm: Es muss nicht x = x gelten! 7 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Einwegfunktion (Definition) Def. 22 (Einwegfunktion): Eine Funktion f ist eine Einwegfunktion, wenn f in Polynomialzeit berechenbar ist und für alle PPT A gilt, dass Pr[A(1 k, y := f (x)) = x : x {0, 1} k, f (x ) = y] negl(k) für eine in k vernachlässigbare Funktion negl. 8 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Einwegfunktionen: Kandidaten Existenz von Einwegfkt. impliziert P = N P. Existenz daher unklar. 9 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Einwegfunktionen: Kandidaten Existenz von Einwegfkt. impliziert P = N P. Existenz daher unklar. Kandidaten: kryptographische Hashfunktionen diskrete Exponentialfunktion x g x g Erzeuger von zyklischer Gruppe G RSA-Funktion x x e mod N für geeignete (e, N) 9 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Lamports Einmalsignaturverfahren (Kap. 2.2.2) Σ = (Gen, Sign, Vfy) Nachrichtenraum {0, 1} n, n = n(k) Benötigt Einwegfunktion f 10 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Lamports Einmalsignaturverfahren (Kap. 2.2.2) Σ = (Gen, Sign, Vfy) Nachrichtenraum {0, 1} n, n = n(k) Benötigt Einwegfunktion f Gen(1 k ) : Wähle x 1,0, x 1,1,..., x n,0, x n,1 zufällig aus {0, 1} k j {1,..., n} : y j,0 := f (x j,0 ) und y j,1 := f (x j,1 ) 10 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Lamports Einmalsignaturverfahren (Kap. 2.2.2) Σ = (Gen, Sign, Vfy) Nachrichtenraum {0, 1} n, n = n(k) Benötigt Einwegfunktion f Gen(1 k ) : Wähle x 1,0, x 1,1,..., x n,0, x n,1 zufällig aus {0, 1} k j {1,..., n} : y j,0 := f (x j,0 ) und y j,1 := f (x j,1 ) ( ) x1,0... x sk = n,0 x 1,1... x n,1 ( ) y1,0... y pk = n,0 y 1,1... y n,1 10 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Lamports Einmalsignaturverfahren (2) ( ) x1,0... x sk = n,0 x 1,1... x n,1 ( ) y1,0... y pk = n,0 y 1,1... y n,1 11 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Lamports Einmalsignaturverfahren (2) ( ) x1,0... x sk = n,0 x 1,1... x n,1 Sign(sk, m) : m = m 1 m 2... m n {0, 1} n σ = (x 1,m1, x 2,m2,..., x n,mn ) ( ) y1,0... y pk = n,0 y 1,1... y n,1 11 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Lamports Einmalsignaturverfahren (2) ( ) x1,0... x sk = n,0 x 1,1... x n,1 Sign(sk, m) : m = m 1 m 2... m n {0, 1} n σ = (x 1,m1, x 2,m2,..., x n,mn ) ( ) y1,0... y pk = n,0 y 1,1... y n,1 Vfy(pk, m, σ) : m = m 1... m n, σ = (x 1, x 2,..., x n) Überprüfe für alle i {1,..., n}, ob gilt: f (x i ) = y i,m i? 11 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Lamports Einmalsignaturverfahren (2) ( ) x1,0... x sk = n,0 x 1,1... x n,1 Sign(sk, m) : m = m 1 m 2... m n {0, 1} n σ = (x 1,m1, x 2,m2,..., x n,mn ) ( ) y1,0... y pk = n,0 y 1,1... y n,1 Vfy(pk, m, σ) : m = m 1... m n, σ = (x 1, x 2,..., x n) Überprüfe für alle i {1,..., n}, ob gilt: f (x i ) = y i,m i? Correctness: Klar. Beispiel: Tafel. 11 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Lamport: Sicherheit Theorem 23: Für jeden EUF-1-CMA PPT-Angreifer A mit Laufzeit t A und Erfolgswkt. ɛ A existiert ein PPT- Angreifer B, der f invertiert, in Zeit t B t A mit Erfolgswkt. ɛ B ɛ A /2n. 12 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Lamport: Sicherheit Theorem 23: Für jeden EUF-1-CMA PPT-Angreifer A mit Laufzeit t A und Erfolgswkt. ɛ A existiert ein PPT- Angreifer B, der f invertiert, in Zeit t B t A mit Erfolgswkt. ɛ B ɛ A /2n. Beweis: Reduktion: EUF-1-CMA-Sicherheit auf Einwegeigenschaft von f. Simulation: B simuliert EUF-1-CMA-Spiel für A. Extraktion: B verwendet Ausgabe von A, um zu gewinnen. 12 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-CMA C Einweg B A 13 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-CMA C Einweg B A x {0, 1} k y := f (x) y 13 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-CMA C Einweg B A x {0, 1} k y := f (x) y Berechne pk, sk geeignet pk 1 13 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-CMA C Einweg B A x {0, 1} k y := f (x) y Berechne pk, sk geeignet pk 1 m = m 1... m n σ 2 13 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Lamport: Sicherheitsbeweis Details: siehe Tafel. Beweisübersicht: Einwegfkt. EUF-1-CMA C Einweg B A x {0, 1} k y := f (x) y Berechne pk, sk geeignet pk 1 x m = m 1... m n σ m, σ 2 3 1 + 2 = Simulation, 3 = Extraktion. 13 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Lamport: Sicherheitsbeweis (Zusammenfassung) Benutze A, um f 1 (x) zu berechnen, indem man...... f (x) in den Public Key einbettet, sodass: B die Nachricht m signieren kann (wähle Rest von pk selbst). A mit hoher Wkt. zum Fälschen f 1 (x) berechnen muss. 14 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Lamport: Zusammenfassung EUF-1-CMA-sicher Einfach & Elegant Benötigt nur Existenz von Einwegfunktionen (schwächste Krypto-Annahme!) Nicht sehr effizient Viele Auswertungen der Einwegfunktion Sehr große Schlüssel 15 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Mehrmal-Signaturverfahren aus Einmalsignaturverfahren Bekannt: Einmalsignaturverfahren Σ (1) Vorteil: Effizient & einfach zu konstruieren Nachteil: Sicherheit nur bei einmaliger Anwendung 16 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Mehrmal-Signaturverfahren aus Einmalsignaturverfahren Bekannt: Einmalsignaturverfahren Σ (1) Vorteil: Effizient & einfach zu konstruieren Nachteil: Sicherheit nur bei einmaliger Anwendung Gesucht: Mehrmal -Signaturen q-mal-signaturverfahren 16 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Erster Ansatz Naives Vorgehen: benutze q Schlüsselpaare 17 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Erster Ansatz Naives Vorgehen: benutze q Schlüsselpaare Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := (pk 1,..., pk q ) sk := (sk 1,..., sk q, st = 1) Achtung: zustandsbehaftet Hier: Zustand ist Zähler st {1,..., q} 17 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Erster Ansatz Naives Vorgehen: benutze q Schlüsselpaare Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := (pk 1,..., pk q ) sk := (sk 1,..., sk q, st = 1) Achtung: zustandsbehaftet Hier: Zustand ist Zähler st {1,..., q} Sign(sk, m) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i) st := st + 1 17 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Erster Ansatz Naives Vorgehen: benutze q Schlüsselpaare Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := (pk 1,..., pk q ) sk := (sk 1,..., sk q, st = 1) Achtung: zustandsbehaftet Hier: Zustand ist Zähler st {1,..., q} Sign(sk, m) : Vfy(pk, m, σ = (σ i, i)) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i) st := st + 1 Vfy (1) (pk i, m, σ i )? = 1 17 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Erster Ansatz Übung 34: Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist, dann ist das obige Verfahren EUF-q-CMA-sicher. 18 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Erster Ansatz Übung 34: Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist, dann ist das obige Verfahren EUF-q-CMA-sicher. Eigenschaften bezogen auf Signaturenanzahl: pk Ω(q) sk Ω(q) σ Θ(1) 18 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Erster Ansatz Übung 34: Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist, dann ist das obige Verfahren EUF-q-CMA-sicher. Eigenschaften bezogen auf Signaturenanzahl: pk Ω(q) sk Ω(q) σ Θ(1) effizienter? 18 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Zwischenschritt Gen(1 k ) : Sign(sk, m) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := (pk 1,..., pk q ) sk := (sk 1,..., sk q, st = 1) Vfy(pk, m, σ) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i) st := st + 1 Vfy (1) (pk i, m, σ i )? = 1 19 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Zwischenschritt H Hashfunktion Gen(1 k ) : Sign(sk, m) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := (pk 1,..., pk q ) sk := (sk 1,..., sk q, st = 1) Vfy(pk, m, σ) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i) st := st + 1 Vfy (1) (pk i, m, σ i )? = 1 19 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Zwischenschritt H Hashfunktion Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := H(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) Sign(sk, m) : Vfy(pk, m, σ) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i) st := st + 1 Vfy (1) (pk i, m, σ i )? = 1 19 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Zwischenschritt H Hashfunktion Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := H(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) Sign(sk, m) : Vfy(pk, m, σ) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i, pk 1,..., pk q ) st := st + 1 Vfy (1) (pk i, m, σ i )? = 1 19 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Zwischenschritt H Hashfunktion Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := H(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) Sign(sk, m) : Vfy(pk, m, σ) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i, pk 1,..., pk q ) st := st + 1 Vfy (1) (pk i, m, σ i )? = 1 und H(pk 1,..., pk q )? = pk 19 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Zwischenschritt Übung (Bem. 35): Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-CMA-sicher. 20 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Zwischenschritt Übung (Bem. 35): Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-CMA-sicher. Eigenschaften bezogen auf Signaturenanzahl: pk O(1) sk Ω(q) σ Ω(q) jetzt: Einsparen bei der Signatur 20 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Zwischenschritt Übung (Bem. 35): Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-CMA-sicher. Eigenschaften bezogen auf Signaturenanzahl: pk O(1) sk Ω(q) σ Ω(q) jetzt: Einsparen bei der Signatur Merkle-Bäume 20 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := Baum-Hash(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) 21 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk 8 22 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk 8 22 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk 8 22 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk 8 22 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk 8 22 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk 8 22 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := Baum-Hash(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) 23 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := Baum-Hash(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) Sign(sk, m) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i, pk i, Ko-Pfad) st := st + 1 23 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Ko-Pfad Definition Der Ko-Pfad eines Knotens v in einem Binärbaum mit Wurzel r ist die Folge aller Knoten u 1,..., u n, wobei u i der Geschwisterknoten des i-ten Knotens auf dem Pfad von v zu r ist. 24 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk 8 25 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk 8 25 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := Baum-Hash(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) Sign(sk, m) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i, pk i, Ko-Pfad) st := st + 1 26 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume Gen(1 k ) : (pk i, sk i ) Gen (1) (1 k ) für alle i {1,..., q} pk := Baum-Hash(pk 1,..., pk q ) sk := (sk 1,..., sk q, pk 1,..., pk q, st = 1) Sign(sk, m) : Vfy(pk, m, σ) : i := st σ i Sign (1) (sk i, m) σ := (σ i, i, pk i, Ko-Pfad) st := st + 1 berechne Wurzel h neu Vfy (1) (pk i, m, σ i )? = 1 und h? = pk 26 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk 8 27 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk 8 27 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk 8 27 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk 8 27 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume pk := h 0,1 in σ enthalten von Vfy berechnet h 1,1 h 1,2 h 2,1 h 2,2 h 2,3 h 2,4 h 3,1 h 3,2 h 3,3 h 3,4 h 3,5 h 3,6 h 3,7 h 3,8 pk 1 pk 2 pk 3 pk 4 pk 5 pk 6 pk 7 pk 8 27 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-CMA-sicher. 28 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen

Merkle-Bäume Theorem Wenn Σ (1) EUF-1-naCMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-naCMA-sicher. Theorem Wenn Σ (1) EUF-1-CMA-sicher ist und H kollisionsresistent, dann ist das obige Verfahren EUF-q-CMA-sicher. Eigenschaften bezogen auf Signaturenanzahl: pk O(1) sk Ω(q) σ Ω(log q) 28 2018-02-01 B. Kaidel Asymmetrische Verschlüsselung: Einmalsignaturen