Proseminar Kryptographie – Kolja Engelmann Sichere Signatursysteme Proseminar Kryptographie Kolja Engelmann,
Proseminar Kryptographie – Kolja Engelmann Inhalt Einleitung One Time Signatures 1-Bit Signaturen N-Bit Signaturen Lamport Signaturschema Unwiderlegbare Signaturen Fail–Stop Signaturen Fazit
Proseminar Kryptographie – Kolja Engelmann Einleitung Gesetz zur digitalen Signatur (Informations- und Kommunikationsdienste-Gesetz) Erste Entwurfsvorlage 11. Dezember 1996 Gleichstellung der Rechtsgültigkeit von digitalen und händischen Unterschriften Strenge Sicherheitsanforderungen mit der Annäherung an eine Unfälschbarkeit Ausgangspunkt: Diffie und Hellmann Idee 1976 asymmetrische Kryptoalgorithmen zur Signierung zu verwenden RSA und ElGamal (DSS)
Proseminar Kryptographie – Kolja Engelmann Fälschungssicherheit v. Signatursystemen Verwendet ein Signatursystem eine Trapdoor-Funktion kann dieses nicht unbedingt informationstheoretisch fälschungssicher sein Mit theoretisch unbegrenzten Resourcen können Signaturen gefälscht werden Aber: Kryptographisch sicher, mit begrenzten Resourcen nicht in genügend kurzer Zeit fälschbar
Proseminar Kryptographie – Kolja Engelmann Beweisbar sichere Signatursysteme Ziel: beweisbar sicheres Signatursystem Aufwand der Problemlösung soll auf der Komplexität eines bekannten Problems beruhen. Mathematische Probleme: Zerlegung großer Zahlen in Primzahlfaktoren Bestimmen von Logarithmen in einem Restklasenring Bestimmung der q-ten Wurzel in
Proseminar Kryptographie – Kolja Engelmann Vorberechnung: Alice generiert pro zu signierendem Bit zwei Zufallszahlen Alice berechnet Alice veröffentlich Einschränkung: One Time Signaturen Bitweise Signierung einer Nachricht mittels einer Hashfunktion Quelle:Kryptographische Verfahren und Anwendungen,Universität Siegen 2004
Proseminar Kryptographie – Kolja Engelmann Signieren Für jedes Bit i der Nachricht m wird die Signatur S wie folgt gebildert Verifizieren Für jeden Wert i der Signatur S wird überprüft, ob One Time Signaturen Quelle:Kryptographische Verfahren und Anwendungen,Universität Siegen 2004
Proseminar Kryptographie – Kolja Engelmann Lamport Signaturschema Öffentlicher Schlüssel: Privater Schlüssel: Signieren einer Nachricht x: Verifizieren einer Nachricht:
Proseminar Kryptographie – Kolja Engelmann Nachricht: Funktion Öffentlicher/Privater Schlüssel Beispiel Lamport Signaturschema Signatur: Verifizierung
Proseminar Kryptographie – Kolja Engelmann Vorberechnung: Alice generiert pro zu signierendem Bit zwei Zufallszahlen Alice berechnet M=#Anzahl der möglichen Werte der Nachricht mit n Bit Beispiel: 2-Bit Nachricht Alice veröffentlicht One Time Signaturen Signieren einer N-Bit Nachricht Quelle:Kryptographische Verfahren und Anwendungen,Universität Siegen 2004
Proseminar Kryptographie – Kolja Engelmann Signieren: Verifizieren: Beweis: One Time Signaturen Beispiel: Alice will die 2–Bit Nachricht '11' signieren Alice berechnet/veröffentlicht: Signieren: Verifizieren: Quelle:Kryptographische Verfahren und Anwendungen,Universität Siegen 2004
Proseminar Kryptographie – Kolja Engelmann One Time Signature Nachteile bitweise signieren Datenmenge, da für n Bit 2n*k Bit übertragen werden (k=Schlüssellänge) Nachteile n-Bit Signatur Rechenleistung,da bei Signierung von n Bit die Funktion H 2*2 n mal aufgerufen werden muss Nachteil Zufallszahlen sind nach einer Verifikation bekannt Zufallszahlen sind nach einer Verifikation bekannt Zufallszahlenorakel muss kollisionsfrei sein
Proseminar Kryptographie – Kolja Engelmann Unwiderlegbare Signaturen Idee: Signaturen können ohne Mithilfe des Signierenden nicht überprüft werden Challenge-Response Modell Der Signierende erfährt so vom Versuch einer Fälschung Der Überprüfende kann sicher sein, dass der Signierende die angenommene Person verkörpert
Proseminar Kryptographie – Kolja Engelmann Chaum-van Antwerpen Signaturschema Öffentlicher Schlüssel: Privater Schlüssel: Verfikation der Signatur y: 1.Wähle Zufallszahlen 2.Berechne 3.Berechne 4.Akzeptiere Signatur genau dann, wenn
Proseminar Kryptographie – Kolja Engelmann Verleugnung der Signatur y: 1.Wähle Zufallszahlen 2.Berechne 3.Berechne 4.Akzeptiere Signatur genau dann, wenn Chaum-van Antwerpen Signaturschema 5.Wähle Zufallszahlen 6.Berechne 7.Berechne 8.Akzeptiere Signatur genau dann, wenn 9.Signatur wurde gefälscht, wenn
Proseminar Kryptographie – Kolja Engelmann Bob wählt : 2. Bob berechnet: 3. Alice berechnet 4. Bob akzeptiert nicht, da die Verfifikation fehl schlägt zweiter Durchlauf Chaum-van Antwerpen Signaturschema
Proseminar Kryptographie – Kolja Engelmann Fail-Stop Signaturen 1990 von Pfitzmann und Waidner vorgestellt Dechiffrierung ist vieldeutig, Chiffrierung eindeutig Zu jedem öffentlichen Schlüssel existieren viele private Schlüssel Wurde ein Schlüssel geknackt (fail) kann dies bewiesen werden und alle Unterschriften wiederrufen werden (stop)
Proseminar Kryptographie – Kolja Engelmann Pedersen und van Heyst Signaturschema Öffentlicher Schlüssel: Privater Schlüssel: Signieren einer Nachricht x Verifizieren einer Nachricht x
Proseminar Kryptographie – Kolja Engelmann Besonderheiten der fail-stop Signaturen Zwei Schlüssel und sind genau dann gleich wenn und gilt. Es gibt mindestens einen Schlüssel K', der eine mit K erstellte Signatur verifizieren kann Pedersen und van Heyst Signaturschema
Proseminar Kryptographie – Kolja Engelmann Man kann beweisen, dass es exakt q Schlüssel K' gibt, die äquivalent zu K sind und zu gegebenem x die gleiche Signatur erzeugen. Aber: es gibt maximal einen Schlüssel K', der aus beliebigem x' die gleiche Signatur erzeugt, die K aus x erzeugte. Folge: Für jede Nachricht x gibt es q Schlüssel, die die Signatur erzeugt haben können Für eine Nachricht erzeugen die q Schlüssel q verschiedene Signaturen Pedersen und van Heyst Signaturschema
Proseminar Kryptographie – Kolja Engelmann Werte aus Vetrauenswürdiger Stelle Schlüssel Pedersen und van Heyst Signaturschema
Proseminar Kryptographie – Kolja Engelmann Fazit Signatursysteme sind beweisbar sicher, wenn ihre Umkehrung nachweisbar auf einer mathematischen Annahme beruht, die selbst schwer berechenbar ist. Zerlegung großer Zahlen in Primzahlfaktoren Bestimmen von Logarithmen in einem Restklasenring Bestimmung der q-ten Wurzel in Es gibt keine informationstheoretische Sicherheit
Proseminar Kryptographie – Kolja Engelmann Quellen Douglas R. Stinson, Cryptography: Theory and Practice. 2nd Edition, Chapman & Hall/CRC 2002 Dirk Fox, Sichere Signatursysteme, Tagungsband 5. Deutscher Sicherheitskongreß des BSI, SecuMedia Verlag 1997, S Univ.-Prof. Dr.rer.nat Christoph Ruland, Kryptographische Verfahren und Anwendungen,Universität Siegen 2004, S Reinhard Wobst, Abenteuer Kryptologie, Addison Wesly 2001, 3. Überarbeitete Auflage