RSA Full Domain Hash (RSA-FDH) Signaturen

(1)

RSA Full Domain Hash (RSA-FDH) Signaturen

Signatur RSA-FDH

Sei H :{0,1}^∗ →Z^∗_Nein Random-Oracle.

1 Gen:(N,e,d)←GenRSA(1ⁿ)mit pk = (N,e)und sk = (N,d).

2 Sign: Für eine Nachricht m∈ {0,1}^∗berechne σ←H(m)^d modN.

3 Vrfy: Für(m, σ)überprüfe

σ^e=^? H(m)modN.

Anmerkung:

RSA-FDH entspricht Hashed-RSA mit einem Random Oracle als Hashfunktion.

Krypto II - Vorlesung 11 - 22.06.2011 Full Domain Hash, Hash-and-Sign Paradigma, Einwegsignaturen 129 / 159

(2)

CMA-Sicherheit von RSA-FDH

Satz CMA-Sicherheit von RSA-FDH

Unter der RSA-Annahme und für ein Random-Oracle H ist RSA-FDH ein CMA-sicheres Signaturverfahren.

Beweisskizze:

SeiΠ =RSA-FDH undǫ=Ws[ForgeA,Π(n) =1].

OBdA gelten folgende Annahmen für die Orakelanfragen vonA:

1 Afragt verschiedene x₁, . . . ,x_qan H(·).

2 BevorAAnfrage m an Sign_sk(·)stellt, fragt er H(m)an.

3 Für eine Fälschung(m, σ)hatAzuvor Anfrage H(m)gestellt.

Konstruieren RSA-InvertiererA^′ mittelsA.

(3)

Beweis der CMA-Sicherheit von RSA-FDH

Algorithmus RSA-Invertierer A^′ EINGABE: N,e,y =x^emodN

1 Wähle j ∈_R{1, . . . ,q}.

2 (m, σ)← A^Sign^sk⁽^·⁾(N,e).

◮ Beantworte Orakelanfragen mi an H(·)konsistent mit H(mi) =

(σ_i^emodNfür ein selbst gewähltesσ∈RZ^∗_N füri 6=j

y sonst .

◮ Beantworte Orakelanfragen m_i an Sign_sk(·)mit Signsk(H(mi)) =

(σi füri 6=j Abbruch sonst .

3 Falls m=m_j undσ^e=y modN, setze x ←σ.

AUSGABE: x

Unter der RSA-Annahme giltnegl(n)≥Ws[A^′(N,e,x^e) =x]

=Ws[m=m_j]·Ws[ForgeA,Π(n) =1] = ^ǫ(n)_q .

Damit istǫ(n)≤q·negl(n)vernachlässigbar für polynomielles q.

(4)

Hash-and-Sign Paradigma

Ziel: Signaturen für Nachrichten beliebiger Länge Starten mit SignaturverfahrenΠfür m∈ {0,1}ⁿ. Verwenden Hashfunktion H :{0,1}^∗ → {0,1}ⁿ. Unterschreiben Hashwerte statt der Nachrichten.

Definition Hash-and-Sign Paradigma

SeiΠ = (Gen,Sign,Vrfy)undΠ_H = (Gen_H,H)eine Hashfunktion.

1 Gen’:(pk,sk)←Gen(1ⁿ), s ←Gen_H(1ⁿ).

Ausgabe pk^′ = (pk,s)und sk^′ = (sk,s).

2 Sign’: Für eine Nachricht m∈ {0,1}^∗ berechne σ ←Sign_sk(Hs(m)).

3 Vrfy’: Für eine Nachricht m∈ {0,1}^∗mit Signaturσ prüfe Vrfy_pk(H_s(m), σ)=^? 1.

Intuition: Fälschung impliziert Fälschung inΠoder Kollision in H.

(5)

Sicherheit von Hash-and-Sign

Satz Sicherheit des Hash-and-Sign Paradigmas SeiΠCMA-sicher undΠH kollisionsresistent. Dann ist das Hash-and-Sign SignaturverfahrenΠ^′ CMA-sicher.

Beweis:

SeiAein Angreifer für Hash-and-SignΠ^′ mit Ausgabe(m, σ).

Sei Q={m1, . . . ,m_q}die Menge der vonAan das Signierorakel Sign_sk(·)gestellten Anfragen. Es gilt m∈/Q.

Sei coll das Ereignis, dass m_i ∈Q mit H_s(mi) =H_s(m).

Dann giltWs[ForgeA,Π^′(n) =1]

= Ws[ForgeA,Π^′(n) =1∧coll] +Ws[ForgeA,Π^′(n) =1∧coll]

≤ Ws[coll] +Ws[ForgeA,Π^′(n) =1∧coll]

Wir zeigen nun, dass beide Summanden vernachlässigbar sind.

(6)

Algorithmus für Kollisionen

Beweis: Ws[coll]≤negl(n)

Konstruieren mittelsAeinen Algorithmus C für Kollisionen.

Algorithmus C EINGABE: s

1 Berechne(pk,sk)←Gen(1ⁿ). Setze pk^′ ←(pk,s).

2 (m, σ)← A(pk^′). Auf Orakelanfrage mi ∈ {0,1}^∗, antworte mit σi ←Sign_sk(Hs(mi)).

AUSGABE:

((m,m_i) fallsHs(m) =Hs(m_i)für einm_i

keine Kollision sonst .

Es giltWs[coll] =Ws[HashColl_C,Π_H(n) =1].

Aus der Kollisionsresistenz von H folgt

Ws[HashColl_C,Π_H(n) =1]≤negl(n).

(7)

Algorithmus C für Kollisionen

(1ⁿ, s)

Ausgabe

C

(pk, sk)←Gen(1ⁿ) pk^′ = (pk, s)

(1ⁿ, pk^′)

σi=Sign_sk(Hs(mi)) σi

Ausgabe:

•(m, mi)falls f¨ur eini Hs(m) =Hs(mi)

•keine Kollisionsonst

A

mi ∈ {0,1}^∗ Q={m₁, . . . , mq} mi

Berechne: (m, σ) m∈ {0,1}^∗\Q (m, σ)

(8)

Fälschen von Signaturen in Π

Beweis: Ws[ForgeA,Π^′(n) =1∧coll]≤negl(n) Konstruieren mittelsAeinen AngreiferA^′ fürΠ.

AlgorithmusA^′

EINGABE: pk , Zugriff auf Signierorakel Sign_sk(·)

1 Berechne s←Gen_H(1ⁿ). Setze pk^′= (pk,s).

2 (m, σ)← A(pk^′). Beantworte Orakelanfrage m_i∈ {0,1}^∗mit Aus- gabeσi ←Sign_sk(Hs(mi))des Signierorakels.

3 Setze m^′ ←H_s(m).

AUSGABE:(m^′, σ)

Falls(m, σ)gültig ist fürΠ^′, so ist(m^′, σ) = (Hs(m), σ)gültig fürΠ.

Ereignis coll bedeutet, dass m^′ 6=Hs(m_i)für alle Anfragen Hs(m_i).

Damit giltWs[ForgeA,Π^′(n)∧coll] =Ws[ForgeA′,Π(n) =1].

Aus der CMA-Sicherheit vonΠfolgt

Ws[ForgeA′,Π(n) =1]≤negl(n).

(9)

Algorithmus A für Fälschungen

(1ⁿ, pk)

H(mi) σi

(m^′, σ)

A s←GenH(1ⁿ) pk^′= (pk, s)

(1ⁿ, pk^′)

σi

Ausgabe:

Setzem^′ =Hs(m)

A^′

mi ∈ {0,1}^∗ Q={m₁, . . . , mq} mi

Berechne: (m, σ) m∈ {0,1}^∗\Q (m, σ)

(10)

Einwegsignaturen

Ziel: Einwegsignaturen

Konstruieren Verfahren zum sicheren Signieren einer Nachricht.

Konstruktion mittels kollisionsresistenter Hashfunktionen.

Spiel ForgeA^einweg,Π (n)

1 (pk,sk) ←Gen(1ⁿ)

2 (m, σ)← A^Sign^sk⁽^·⁾(pk), wobeiAeine Nachricht m^′ 6=m an Sign_sk(·)anfragen darf.

3 Forge^einweg_A_,Π (n) =

(1 fallsVrfy_pk(m, σ) =1

0 sonst .

(11)

Forge^einweg_A_,Π (n)

(pk, sk)←Gen(1ⁿ) (1ⁿ, pk)

σ^′=Signsk(m^′)

σ^′ Ausgabe:

(1if Vrfypk(m, σ) = 1 0else

A

m^′∈ M m^′

Berechne: (m, σ) m6=m^′∈ M (m, σ)

Definition CMA-sichere Einwegsignaturen

Ein SignaturverfahrenΠheißt CMA-sichere Einwegsignatur, falls für alle pptAgilt Pr[Forge_A^einweg_,Π (n) =1]≤negl(n).

(12)

Beispiel von Lamports Einwegsignaturen

Illustration: Signieren einer 3-Bit Nachricht Verwende Einwegfunktion f :D→R.

Wähle als geheimen Schlüssel 6 Element x_i,j zufällig aus D. Setze sk =

x_1,0 x_2,0 x_3,0 x_1,1 x_2,1 x_3,1

.

Für alle x_i,jberechne y_i,j =f(xi,j). Dies liefert pk =

y_1,0 y_2,0 y_3,0 y_1,1 y_2,1 y_3,1

.

Unterschreibe m=m₁m₂m₃∈ {0,1}³mitσ =x_1,m₁x_2,m₂x_3,m₃. Verifikation von(m, σ): Überprüfe f(σi) =y_i,m_i für i =1,2,3.

(13)

Lamports Einwegsignaturen

Definition Lamport Einwegsignaturen

Sei f eine Einwegfunktion. Konstruieren Signaturen für m∈ {0,1}^ℓ. Gen: Bei Eingabe 1ⁿ:

Wähle x_i,j∈R {0,1}ⁿ, berechne y :=f(xi,j)für i ∈[ℓ],j ∈ {0,1}.

Setze sk =

x_1,0 . . . x_ℓ,0 x_1,1 . . . x_ℓ,1

und pk =

y_1,0 . . . y_ℓ,0 y_1,1 . . . y_ℓ,1

. Sign: Für m₁. . .m_ℓ∈ {0,1}^ℓ, Ausgabe(m, σ)mit

σ= (x_1,m₁, . . . ,x_ℓ,mℓ).

Vrfy: Für(m, σ)überprüfe f(σ_i)=^? y_i,m_i für i ∈[ℓ].