Upload
alke-wess
View
121
Download
2
Embed Size (px)
Citation preview
111.04.23
Proseminar Kryptographie – Kolja Engelmann
Sichere SignatursystemeSichere Signatursysteme
Proseminar Kryptographie
Kolja Engelmann, 708383
Proseminar Kryptographie – Kolja Engelmann
11.04.23 2
InhaltInhalt
Einleitung One Time Signatures
1-Bit SignaturenN-Bit SignaturenLamport Signaturschema
Unwiderlegbare Signaturen Fail–Stop Signaturen Fazit
Proseminar Kryptographie – Kolja Engelmann
11.04.23 3
EinleitungEinleitung
Gesetz zur digitalen Signatur (Informations- und Kommunikationsdienste-Gesetz)Erste Entwurfsvorlage 11. Dezember 1996Gleichstellung der Rechtsgültigkeit von digitalen
und händischen UnterschriftenStrenge Sicherheitsanforderungen mit der
Annäherung an eine Unfälschbarkeit Ausgangspunkt: Diffie und Hellmann Idee
1976 asymmetrische Kryptoalgorithmen zur Signierung zu verwendenRSA und ElGamal (DSS)
Proseminar Kryptographie – Kolja Engelmann
11.04.23 4
Fälschungssicherheit v. SignatursystemenFälschungssicherheit v. Signatursystemen
Verwendet ein Signatursystem eine Trapdoor-Funktion kann dieses nicht unbedingt informationstheoretisch fälschungssicher seinMit theoretisch unbegrenzten Resourcen
können Signaturen gefälscht werdenAber: Kryptographisch sicher, mit begrenzten
Resourcen nicht in genügend kurzer Zeit fälschbar
Proseminar Kryptographie – Kolja Engelmann
11.04.23 5
Beweisbar sichere SignatursystemeBeweisbar sichere Signatursysteme
Ziel: beweisbar sicheres SignatursystemAufwand der Problemlösung soll auf der
Komplexität eines bekannten Problems beruhen.
Mathematische Probleme:Zerlegung großer Zahlen in PrimzahlfaktorenBestimmen von Logarithmen in einem
RestklasenringBestimmung der q-ten Wurzel in
Pr oblem nicht leicht lösbar Fälschen der Signatur schwer
n *Z
Proseminar Kryptographie – Kolja Engelmann
11.04.23 6
Vorberechnung:
Alice generiert pro zu signierendem Bit zwei Zufallszahlen
Alice berechnet
Alice veröffentlich
Einschränkung:
One Time SignaturenOne Time Signaturen
1 2x , x
1 1 2 2y H(x ), y H(x )
entspricht entspricht1 2y 1, y 0����������������������������
Bitweise Signierung einer Nachricht mittels einer Hashfunktion
1 2 1 2x , x , y , y 64bit
Quelle:Kryptographische Verfahren und Anwendungen,Universität Siegen 2004
Proseminar Kryptographie – Kolja Engelmann
11.04.23 7
Signieren
Für jedes Bit i der Nachricht m wird die Signatur S wie folgt gebildert
Verifizieren
Für jeden Wert i der Signatur S wird überprüft, ob
One Time SignaturenOne Time Signaturen
i i,0i
i i,1
m 0, xS
m 1, x
i i i,0i
i i i,1
m 0,H(S ) yS
m 1,H(S ) y
Quelle:Kryptographische Verfahren und Anwendungen,Universität Siegen 2004
Proseminar Kryptographie – Kolja Engelmann
11.04.23 8
Lamport SignaturschemaLamport Signaturschema
1 kK 1 k 1,x k,xsig (x ,..., x ) (y ,..., y )
k
i, j i, jz f (y ),1 i k, j 0,1
i, jy Y,1 i k, j 0,1
f : Y Z
k0,1
Öffentlicher Schlüssel:
Privater Schlüssel:
i, jy
i, jz
Signieren einer Nachricht x:
Verifizieren einer Nachricht:
i
K 1 k 1 k
i i,x
ver ((x ,..., x ), (a ,..., a )) true
f (a ) z ,1 i k
Proseminar Kryptographie – Kolja Engelmann
11.04.23 9
Nachricht:
Funktion
Öffentlicher/Privater Schlüssel
Beispiel Lamport Signaturschema Beispiel Lamport Signaturschema
1,0 1,0
1,1 1,1
2,0 2,0
2,1 2,1
3,0 3,0
3,1 3,1
y 5831 z 2009
y 735 z 3810
y 803 z 4672
y 2467 z 4721
y 4285 z 268
y 6449 z 5731
x (1,1,0)
xf (x) 3 mod 7879
7351,1
24672,1
42853,0
3 mod 7879 3810 z
3 mod 7879 4721 z
3 mod 7879 268 z
Signatur:
Verifizierung
1,1 2,1 3,0(y , y , y ) (735,2467,4285)
Proseminar Kryptographie – Kolja Engelmann
11.04.23 10
Vorberechnung:
Alice generiert pro zu signierendem Bit zwei Zufallszahlen
Alice berechnet
M=#Anzahl der möglichen Werte der Nachricht mit n Bit
Beispiel: 2-Bit Nachricht
Alice veröffentlicht
One Time SignaturenOne Time Signaturen
nM 2
1 2x , xM M
1 1 2 2y H (x ), y H (x )
1 2y , y
Signieren einer N-Bit Nachricht
41 1
42 2
y H (x) H(H(H(H(x ))))
y H (x) H(H(H(H(x ))))
Quelle:Kryptographische Verfahren und Anwendungen,Universität Siegen 2004
Proseminar Kryptographie – Kolja Engelmann
11.04.23 11
Signieren:
Verifizieren:
Beweis:
One Time SignaturenOne Time Signaturen
M M n M n n M1 1 1 1 1
M n 1 n 1 M 1 n M2 2 2 2 2
y H (x ) H (s ) H (H (x )) H (x )
y H (x ) H (s ) H (H (x )) H (x )
n1 1
M 1 n2 2
s H (x )
s H (x )
M n1 1
n 12 2
y H (s )
y H (s )
Beispiel:
Alice will die 2–Bit Nachricht '11' signieren
Alice berechnet/veröffentlicht:
Signieren:
Verifizieren:
4 41 1 2 2y H (x ), y H (x )
2
31 1 1 2
2 2
n 3('11'),m 2
s H (x ) '11',s ,s
s x
M n 1 ?1 1 1
1 2n 1 42 2 2
y H (s ) H (s )y y
y H (s ) H (s )
Quelle:Kryptographische Verfahren und Anwendungen,Universität Siegen 2004
Proseminar Kryptographie – Kolja Engelmann
11.04.23 12
One Time SignatureOne Time Signature
Nachteile bitweise signieren Datenmenge, da für n Bit 2n*k Bit übertragen werden
(k=Schlüssellänge)
Nachteile n-Bit Signatur Rechenleistung,da bei Signierung von n Bit die Funktion
H 2*2n mal aufgerufen werden muss
Nachteil Zufallszahlen sind nach einer Verifikation bekannt Zufallszahlen sind nach einer Verifikation bekannt Zufallszahlenorakel muss kollisionsfrei sein
Proseminar Kryptographie – Kolja Engelmann
11.04.23 13
Unwiderlegbare SignaturenUnwiderlegbare Signaturen
Idee: Signaturen können ohne Mithilfe des Signierenden nicht überprüft werdenChallenge-Response ModellDer Signierende erfährt so vom Versuch einer
FälschungDer Überprüfende kann sicher sein, dass der
Signierende die angenommene Person verkörpert
Proseminar Kryptographie – Kolja Engelmann
11.04.23 14
Chaum-van Antwerpen SignaturschemaChaum-van Antwerpen Signaturschema
p,q =Primzahlen | p 2q+1
pa *,1 a q 1 Z
p *Z
K (p, ,a, )
a mod p
aKy sig (x) x mod p,
x Nachricht G
pG *| Ordnung qZ
Öffentlicher Schlüssel:
Privater Schlüssel:
p, , a
Verfikation der Signatur y:
1. Wähle Zufallszahlen
2. Berechne
3. Berechne
4. Akzeptiere Signatur genau dann, wenn
1 2 qe ,e *Z
e1 e2c y mod p
1a modqd c mod p
e1 e2d x mod p
Proseminar Kryptographie – Kolja Engelmann
11.04.23 15
Verleugnung der Signatur y:
1. Wähle Zufallszahlen
2. Berechne
3. Berechne
4. Akzeptiere Signatur genau dann, wenn
Chaum-van Antwerpen SignaturschemaChaum-van Antwerpen Signaturschema
p,q =Primzahlen | p 2q+1
pa *,1 a q 1 Z
p *Z
K (p, ,a, )
a mod p
aKy sig (x) x mod p,
x Nachricht G
pG *| Ordnung qZ1 2 qe ,e *Z
e1 e2c y mod p 1a modqd c mod p
e1 e2d x mod p 5. Wähle Zufallszahlen
6. Berechne
7. Berechne
8. Akzeptiere Signatur genau dann, wenn
9. Signatur wurde gefälscht, wenn
1 2 qf , f *Z1 2f fC y mod p
1a modqD C mod p
1 2f fD x mod p
2 1 2 1e f f e(d ) (D ) mod p
Proseminar Kryptographie – Kolja Engelmann
11.04.23 16
e1 e2
45 237
d x mod p
109 286 4 mod 467 149
1. Bob wählt :
2. Bob berechnet:
3. Alice berechnet
4. Bob akzeptiert nicht, da die Verfifikation fehl schlägt
5.-8. zweiter Durchlauf
Chaum-van Antwerpen SignaturschemaChaum-van Antwerpen Signaturschema
1 2
125 9
f 125, f 9,C 270,D 68
286 4 mod 467 25 25 68
1 1a modq 101 modqd c mod p 305 mod p 109
p 467, 4,a 101, 449
Nachricht x=286, falsche Signatur y=83
1 2e 45,e 237 1 2e e 45 237c y mod p 83 *449 mod 467 305
2 1 2 1e f f e
237 125
9 45
(d ) (D ) mod p
(109*4 ) 188mod 467
(68*4 ) 188mod 467
Proseminar Kryptographie – Kolja Engelmann
11.04.23 17
Fail-Stop SignaturenFail-Stop Signaturen
1990 von Pfitzmann und Waidner vorgestellt Dechiffrierung ist vieldeutig, Chiffrierung
eindeutigZu jedem öffentlichen Schlüssel existieren viele
private Schlüssel Wurde ein Schlüssel geknackt (fail) kann
dies bewiesen werden und alle Unterschriften wiederrufen werden (stop)
Proseminar Kryptographie – Kolja Engelmann
11.04.23 18
Pedersen und van Heyst SignaturschemaPedersen und van Heyst Signaturschema
p,q =Primzahlen | p 2q+1
0 p 0a *,1 a q 1 Z
p *Z
1 2 1 2 1 2
1 2 1 2 q
K ( , ,a ,a , b ,b )
a ,a , b ,b
Z
0a mod p K 1 2
1 1 1
2 2 2
sig (x) (y , y ), x Nachricht
y a xb mod q,
y a xb mod q
Öffentlicher Schlüssel:
Privater Schlüssel:
1 2, 1 2 1 2a ,a , b ,b
Signieren einer Nachricht x
Verifizieren einer Nachricht x
1 2
K 1 2
x y y1 2
ver (x, (y , y )) true
mod p
Proseminar Kryptographie – Kolja Engelmann
11.04.23 19
Besonderheiten der fail-stop SignaturenZwei Schlüssel
undsind genau dann gleich wenn und gilt.
Es gibt mindestens einen Schlüssel K', der eine mit K erstellte Signatur verifizieren kann
Pedersen und van Heyst SignaturschemaPedersen und van Heyst Signaturschema
K K'ver (x, y) true ver (x, y) true
1 2 1 2 1 2( , , a ,a , b ,b )
1 2 1 2 1 2( ' , ' , a ' , a ' , b ' , b ' )
1 1' 2 2'
Proseminar Kryptographie – Kolja Engelmann
11.04.23 20
Man kann beweisen, dass es exakt q Schlüssel K' gibt, die äquivalent zu K sindund zu gegebenem x die gleiche Signatur erzeugen.
Aber: es gibt maximal einen Schlüssel K', der aus beliebigem x'‚ die gleiche Signatur erzeugt, die K aus x erzeugte.
Folge: Für jede Nachricht x gibt es q Schlüssel, die die Signatur
erzeugt haben können Für eine Nachricht erzeugen die q Schlüssel q
verschiedene Signaturen
Pedersen und van Heyst SignaturschemaPedersen und van Heyst Signaturschema
K K 'y sig (x) sig (x)
x ' x
Proseminar Kryptographie – Kolja Engelmann
11.04.23 21
Werte aus Vetrauenswürdiger Stelle
Schlüssel
Pedersen und van Heyst SignaturschemaPedersen und van Heyst Signaturschema
0
0
a 1567
q 1733
p 3467 2*1733 1
4,a 1567
mod p 4 mod3467 514
1 2
1 2
1 2 1 2
a a888 10241
b b786 9992
1 2 1 2 1 2
a 888,a 1024,b 786,b 999
4 *514 mod3467 3405 * mod p
4 *514 mod3467 2281 * mod p
K ( , ,a ,a , b ,b )
Proseminar Kryptographie – Kolja Engelmann
11.04.23 22
FazitFazit
Signatursysteme sind beweisbar sicher, wenn ihre Umkehrung nachweisbar auf einer mathematischen Annahme beruht, die selbst schwer berechenbar ist.Zerlegung großer Zahlen in PrimzahlfaktorenBestimmen von Logarithmen in einem
RestklasenringBestimmung der q-ten Wurzel in
Es gibt keine informationstheoretische Sicherheit
n *Z
Proseminar Kryptographie – Kolja Engelmann
11.04.23 23
QuellenQuellen
Douglas R. Stinson, Cryptography: Theory and Practice. 2nd Edition, Chapman & Hall/CRC 2002
Dirk Fox, Sichere Signatursysteme, Tagungsband 5. Deutscher Sicherheitskongreß des BSI, SecuMedia Verlag 1997, S. 61-76
Univ.-Prof. Dr.rer.nat Christoph Ruland, Kryptographische Verfahren und Anwendungen,Universität Siegen 2004, S. 259-278
Reinhard Wobst, Abenteuer Kryptologie, Addison Wesly 2001, 3. Überarbeitete Auflage