• Keine Ergebnisse gefunden

8.Februar2011 wilhelm@math.hu-berlin.de PaulWilhelm ElektronischesGeld

N/A
N/A
Protected

Academic year: 2022

Aktie "8.Februar2011 wilhelm@math.hu-berlin.de PaulWilhelm ElektronischesGeld"

Copied!
68
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Volltext

(1)

Kryptographische Primitive CL Signatur Literatur

Elektronisches Geld

Paul Wilhelm wilhelm@math.hu-berlin.de

Humboldt-Universit¨ at zu Berlin

8. Februar 2011

(2)

Kryptographische Primitive CL Signatur Literatur

Gliederung I

1 Kryptographische Primitive Commitment Schema Zero-Knowledge-Protokoll

2 CL Signatur CL Signatur

3 Literatur

Literatur

(3)

Kryptographische Primitive CL Signatur Literatur

Commitment Schema

Darstellungsproblem

Pedersen Commitment:

Gruppe G , |G | = q ∈ P, < g i >= G ∀0 ≤ i ≤ m Geheimnis: (v 1 , ..., v m ) ∈ Z m q

Sender w¨ ahlt r ∈ R Z q

Commitment: C =PedCom(v 1 , ..., v m ; r ) = g 0 r

m

Q

i=1

g i v

i

(4)

Kryptographische Primitive CL Signatur Literatur

Commitment Schema

Darstellungsproblem

Pedersen Commitment:

Gruppe G , |G | = q ∈ P, < g i >= G ∀0 ≤ i ≤ m Geheimnis: (v 1 , ..., v m ) ∈ Z m q

Sender w¨ ahlt r ∈ R Z q

Commitment: C =PedCom(v 1 , ..., v m ; r ) = g 0 r

m

Q

i=1

g i v

i

(5)

Kryptographische Primitive CL Signatur Literatur

Commitment Schema

Darstellungsproblem

Pedersen Commitment:

Gruppe G , |G | = q ∈ P, < g i >= G ∀0 ≤ i ≤ m Geheimnis: (v 1 , ..., v m ) ∈ Z m q

Sender w¨ ahlt r ∈ R Z q

Commitment: C =PedCom(v 1 , ..., v m ; r ) = g 0 r

m

Q

i=1

g i v

i

(6)

Kryptographische Primitive CL Signatur Literatur

Commitment Schema

Darstellungsproblem

Pedersen Commitment:

Gruppe G , |G | = q ∈ P, < g i >= G ∀0 ≤ i ≤ m Geheimnis: (v 1 , ..., v m ) ∈ Z m q

Sender w¨ ahlt r ∈ R Z q

Commitment: C =PedCom(v 1 , ..., v m ; r ) = g 0 r

m

Q

i=1

g i v

i

(7)

Kryptographische Primitive CL Signatur Literatur

Commitment Schema

Darstellungsproblem

Pedersen Commitment:

Gruppe G , |G | = q ∈ P, < g i >= G ∀0 ≤ i ≤ m Geheimnis: (v 1 , ..., v m ) ∈ Z m q

Sender w¨ ahlt r ∈ R Z q

Commitment: C =PedCom(v 1 , ..., v m ; r ) = g 0 r

m

Q

i=1

g i v

i

(8)

Kryptographische Primitive CL Signatur Literatur

Zero-Knowledge-Protokoll

Beispiel (Darstellungsproblem)

Beispiel - interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V ¨ uberpr¨ uft ob Q m

i=1

g i r

i

· y c = ? t

wiederhole 1-4, w¨ ahle v i und c neu

(9)

Kryptographische Primitive CL Signatur Literatur

Zero-Knowledge-Protokoll

Beispiel (Darstellungsproblem)

Beispiel - interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V ¨ uberpr¨ uft ob Q m

i=1

g i r

i

· y c = ? t

wiederhole 1-4, w¨ ahle v i und c neu

(10)

Kryptographische Primitive CL Signatur Literatur

Zero-Knowledge-Protokoll

Beispiel (Darstellungsproblem)

Beispiel - interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V ¨ uberpr¨ uft ob Q m

i=1

g i r

i

· y c = ? t

wiederhole 1-4, w¨ ahle v i und c neu

(11)

Kryptographische Primitive CL Signatur Literatur

Zero-Knowledge-Protokoll

Beispiel (Darstellungsproblem)

Beispiel - interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V ¨ uberpr¨ uft ob Q m

i=1

g i r

i

· y c = ? t

wiederhole 1-4, w¨ ahle v i und c neu

(12)

Kryptographische Primitive CL Signatur Literatur

Zero-Knowledge-Protokoll

Beispiel (Darstellungsproblem)

Beispiel - interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V ¨ uberpr¨ uft ob Q m

i=1

g i r

i

· y c = ? t

wiederhole 1-4, w¨ ahle v i und c neu

(13)

Kryptographische Primitive CL Signatur Literatur

Zero-Knowledge-Protokoll

Beispiel (Darstellungsproblem)

Beispiel - interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V ¨ uberpr¨ uft ob Q m

i=1

g i r

i

· y c = ? t

wiederhole 1-4, w¨ ahle v i und c neu

(14)

Kryptographische Primitive CL Signatur Literatur

Zero-Knowledge-Protokoll

Beispiel (Darstellungsproblem)

Beispiel - interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

V sendet c ∈ R {0, 1} an P (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V ¨ uberpr¨ uft ob Q m

i=1

g i r

i

· y c = ? t

wiederhole 1-4, w¨ ahle v i und c neu

(15)

Kryptographische Primitive CL Signatur Literatur

Zero-Knowledge-Protokoll

Beispiel (Darstellungsproblem)

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i

P und V kennen Hash-Funktion H : G m × G × G → Z q

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

P berechnet c = H(g 1 , ..., g m , y, t) (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V berechnet c = H(g 1 , ..., g m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

Auch weitere Verifizierer V 0 k¨ onnen mit g i , y, H, t, r i ¨ uberpr¨ ufen ob

P (x 1 , ..., x m ) kennt.

(16)

Kryptographische Primitive CL Signatur Literatur

Zero-Knowledge-Protokoll

Beispiel (Darstellungsproblem)

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i

P und V kennen Hash-Funktion H : G m × G × G → Z q

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

P berechnet c = H(g 1 , ..., g m , y, t) (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V berechnet c = H(g 1 , ..., g m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

Auch weitere Verifizierer V 0 k¨ onnen mit g i , y, H, t, r i ¨ uberpr¨ ufen ob

P (x 1 , ..., x m ) kennt.

(17)

Kryptographische Primitive CL Signatur Literatur

Zero-Knowledge-Protokoll

Beispiel (Darstellungsproblem)

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i

P und V kennen Hash-Funktion H : G m × G × G → Z q

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

P berechnet c = H(g 1 , ..., g m , y, t) (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V berechnet c = H(g 1 , ..., g m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

Auch weitere Verifizierer V 0 k¨ onnen mit g i , y, H, t, r i ¨ uberpr¨ ufen ob

P (x 1 , ..., x m ) kennt.

(18)

Kryptographische Primitive CL Signatur Literatur

Zero-Knowledge-Protokoll

Beispiel (Darstellungsproblem)

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i

P und V kennen Hash-Funktion H : G m × G × G → Z q

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

P berechnet c = H(g 1 , ..., g m , y, t) (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V berechnet c = H(g 1 , ..., g m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

Auch weitere Verifizierer V 0 k¨ onnen mit g i , y, H, t, r i ¨ uberpr¨ ufen ob

P (x 1 , ..., x m ) kennt.

(19)

Kryptographische Primitive CL Signatur Literatur

Zero-Knowledge-Protokoll

Beispiel (Darstellungsproblem)

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i

P und V kennen Hash-Funktion H : G m × G × G → Z q

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

P berechnet c = H(g 1 , ..., g m , y, t) (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V berechnet c = H(g 1 , ..., g m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

Auch weitere Verifizierer V 0 k¨ onnen mit g i , y, H, t, r i ¨ uberpr¨ ufen ob

P (x 1 , ..., x m ) kennt.

(20)

Kryptographische Primitive CL Signatur Literatur

Zero-Knowledge-Protokoll

Beispiel (Darstellungsproblem)

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i

P und V kennen Hash-Funktion H : G m × G × G → Z q

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

P berechnet c = H(g 1 , ..., g m , y, t) (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V berechnet c = H(g 1 , ..., g m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

Auch weitere Verifizierer V 0 k¨ onnen mit g i , y, H, t, r i ¨ uberpr¨ ufen ob

P (x 1 , ..., x m ) kennt.

(21)

Kryptographische Primitive CL Signatur Literatur

Zero-Knowledge-Protokoll

Beispiel (Darstellungsproblem)

Beispiel - nicht interaktiv

P kennt (x 1 , ..., x m ) ∈ Z m q mit y =

m

Q

i=1

g i x

i

, V kennt nur y und g i

P und V kennen Hash-Funktion H : G m × G × G → Z q

1

P w¨ ahlt (v 1 , ..., v m ) ∈ R Z m q , sendet t =

m

Q

i=1

g i v

i

an V (commitment)

2

P berechnet c = H(g 1 , ..., g m , y, t) (challenge)

3

P sendet r i = v i − cx i an V (response)

4

V berechnet c = H(g 1 , ..., g m , y, t) und ¨ uberpr¨ uft ob

m

Q

i=1

g i r

i

· y c = ? t

Auch weitere Verifizierer V 0 k¨ onnen mit g i , y, H, t, r i ¨ uberpr¨ ufen ob

P (x 1 , ..., x m ) kennt.

(22)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

Voraussetzungen

Seien G =< g > und G t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G t mit:

e(P a , Q b ) = e(P , Q) ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P, Q ∈ G mit e(P , Q ) 6= 1 ∈ G t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e(g , g ) >= G t

(23)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

Voraussetzungen

Seien G =< g > und G t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G t mit:

e(P a , Q b ) = e(P , Q) ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P, Q ∈ G mit e(P , Q ) 6= 1 ∈ G t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e(g , g ) >= G t

(24)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

Voraussetzungen

Seien G =< g > und G t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G t mit:

e(P a , Q b ) = e(P , Q) ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P, Q ∈ G mit e(P , Q ) 6= 1 ∈ G t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e(g , g ) >= G t

(25)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

Voraussetzungen

Seien G =< g > und G t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G t mit:

e(P a , Q b ) = e(P , Q) ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P, Q ∈ G mit e(P , Q ) 6= 1 ∈ G t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e(g , g ) >= G t

(26)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

Voraussetzungen

Seien G =< g > und G t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G t mit:

e(P a , Q b ) = e(P , Q) ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P, Q ∈ G mit e(P , Q ) 6= 1 ∈ G t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e(g , g ) >= G t

(27)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

Voraussetzungen

Seien G =< g > und G t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G t mit:

e(P a , Q b ) = e(P , Q) ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P, Q ∈ G mit e(P , Q ) 6= 1 ∈ G t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e(g , g ) >= G t

(28)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

Voraussetzungen

Seien G =< g > und G t =< g ˆ > Gruppen der Ordnung q ∈ P Es gibt eine Abbildung e : G × G → G t mit:

e(P a , Q b ) = e(P , Q) ab ∀ P , Q ∈ G , a, b ∈ Z q (bilinear)

∃ P, Q ∈ G mit e(P , Q ) 6= 1 ∈ G t (nicht degeneriert) e(., .) ist effizient berechenbar

∀ g mit < g >= G gilt < e(g , g ) >= G t

(29)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

Signatur

Nachricht m, geheimer Schl¨ ussel sk = (x, y ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y )

m signieren:

w¨ ahle a ∈ R G , setze Signatur σ = (a, b = a y , c = a x+xym )

σ von m verifizieren:

pr¨ ufe b: e(a, Y ) = ? e(g , b)

pr¨ ufe c : e(X , a) · e(X , b) m = ? e (g , c )

(30)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

Signatur

Nachricht m, geheimer Schl¨ ussel sk = (x, y ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y )

m signieren:

w¨ ahle a ∈ R G , setze Signatur σ = (a, b = a y , c = a x+xym )

σ von m verifizieren:

pr¨ ufe b: e(a, Y ) = ? e(g , b)

pr¨ ufe c : e(X , a) · e(X , b) m = ? e (g , c )

(31)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

Signatur

Nachricht m, geheimer Schl¨ ussel sk = (x, y ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y )

m signieren:

w¨ ahle a ∈ R G , setze Signatur σ = (a, b = a y , c = a x+xym )

σ von m verifizieren:

pr¨ ufe b: e(a, Y ) = ? e(g , b)

pr¨ ufe c : e(X , a) · e(X , b) m = ? e (g , c )

(32)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

Signatur

Nachricht m, geheimer Schl¨ ussel sk = (x, y ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y )

m signieren:

w¨ ahle a ∈ R G , setze Signatur σ = (a, b = a y , c = a x+xym )

σ von m verifizieren:

pr¨ ufe b: e(a, Y ) = ? e(g , b)

pr¨ ufe c : e(X , a) · e(X , b) m = ? e (g , c )

(33)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

Signatur

Nachricht m, geheimer Schl¨ ussel sk = (x, y ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y )

m signieren:

w¨ ahle a ∈ R G , setze Signatur σ = (a, b = a y , c = a x+xym )

σ von m verifizieren:

pr¨ ufe b: e(a, Y ) = ? e(g , b)

pr¨ ufe c : e(X , a) · e(X , b) m = ? e (g , c )

(34)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

Signatur

Nachricht m, geheimer Schl¨ ussel sk = (x, y ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y )

m signieren:

w¨ ahle a ∈ R G , setze Signatur σ = (a, b = a y , c = a x+xym )

σ von m verifizieren:

pr¨ ufe b: e(a, Y ) = ? e(g , b)

pr¨ ufe c : e(X , a) · e(X , b) m = ? e (g , c )

(35)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

Signatur

Nachricht m, geheimer Schl¨ ussel sk = (x, y ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y )

m signieren:

w¨ ahle a ∈ R G , setze Signatur σ = (a, b = a y , c = a x+xym )

σ von m verifizieren:

pr¨ ufe b: e(a, Y ) = ? e(g , b)

pr¨ ufe c : e(X , a) · e(X , b) m = ? e (g , c )

(36)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

Signatur

Nachricht m, geheimer Schl¨ ussel sk = (x, y ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y )

m signieren:

w¨ ahle a ∈ R G , setze Signatur σ = (a, b = a y , c = a x+xym )

σ von m verifizieren:

pr¨ ufe b: e(a, Y ) = ? e(g , b)

pr¨ ufe c : e(X , a) · e(X , b) m = ? e (g , c )

(37)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

Signatur

Nachricht m, geheimer Schl¨ ussel sk = (x, y ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y )

m signieren:

w¨ ahle a ∈ R G , setze Signatur σ = (a, b = a y , c = a x+xym )

σ von m verifizieren:

pr¨ ufe b: e(a, Y ) = ? e(g , b)

pr¨ ufe c : e(X , a) · e(X , b) m = ? e (g , c )

(38)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

Signatur

Nachricht m, geheimer Schl¨ ussel sk = (x, y ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y )

m signieren:

w¨ ahle a ∈ R G , setze Signatur σ = (a, b = a y , c = a x+xym )

σ von m verifizieren:

pr¨ ufe b: e(a, Y ) = ? e(g , b)

pr¨ ufe c : e(X , a) · e(X , b) m = ? e (g , c )

(39)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind verifizieren

Commitment der Signatur: w¨ ahle r , r 0R Z q , berechne

˜

σ =

˜

a = a r , b ˜ = b r , ˆ c = ˜ c r

0

= c rr

0

˜

σ von m verifizieren:

pr¨ ufe ˜ b: e(˜ a, Y ) = ? e(g , ˜ b) pr¨ ufe ˆ c : ZPK

(τ ) : e(X , ˜ a) · e (X , b) ˜ m = ? e(g , ˆ c) τ

(40)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind verifizieren

Commitment der Signatur: w¨ ahle r , r 0R Z q , berechne

˜

σ =

˜

a = a r , b ˜ = b r , ˆ c = ˜ c r

0

= c rr

0

˜

σ von m verifizieren:

pr¨ ufe ˜ b: e(˜ a, Y ) = ? e(g , ˜ b) pr¨ ufe ˆ c : ZPK

(τ ) : e(X , ˜ a) · e (X , b) ˜ m = ? e(g , ˆ c) τ

(41)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind verifizieren

Commitment der Signatur: w¨ ahle r , r 0R Z q , berechne

˜

σ =

˜

a = a r , b ˜ = b r , ˆ c = ˜ c r

0

= c rr

0

˜

σ von m verifizieren:

pr¨ ufe ˜ b: e(˜ a, Y ) = ? e(g , ˜ b) pr¨ ufe ˆ c : ZPK

(τ ) : e(X , ˜ a) · e (X , b) ˜ m = ? e(g , ˆ c) τ

(42)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind verifizieren

Commitment der Signatur: w¨ ahle r , r 0R Z q , berechne

˜

σ =

˜

a = a r , b ˜ = b r , ˆ c = ˜ c r

0

= c rr

0

˜

σ von m verifizieren:

pr¨ ufe ˜ b: e(˜ a, Y ) = ? e(g , ˜ b) pr¨ ufe ˆ c : ZPK

(τ ) : e(X , ˜ a) · e (X , b) ˜ m = ? e(g , ˆ c) τ

(43)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind verifizieren

Commitment der Signatur: w¨ ahle r , r 0R Z q , berechne

˜

σ =

˜

a = a r , b ˜ = b r , ˆ c = ˜ c r

0

= c rr

0

˜

σ von m verifizieren:

pr¨ ufe ˜ b: e(˜ a, Y ) = ? e(g , ˜ b) pr¨ ufe ˆ c : ZPK

(τ ) : e(X , ˜ a) · e (X , b) ˜ m = ? e(g , ˆ c) τ

(44)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind verifizieren

Commitment der Signatur: w¨ ahle r , r 0R Z q , berechne

˜

σ =

˜

a = a r , b ˜ = b r , ˆ c = ˜ c r

0

= c rr

0

˜

σ von m verifizieren:

pr¨ ufe ˜ b: e(˜ a, Y ) = ? e(g , ˜ b) pr¨ ufe ˆ c : ZPK

(τ ) : e(X , ˜ a) · e (X , b) ˜ m = ? e(g , ˆ c) τ

(45)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind verifizieren

Commitment der Signatur: w¨ ahle r , r 0R Z q , berechne

˜

σ =

˜

a = a r , b ˜ = b r , ˆ c = ˜ c r

0

= c rr

0

˜

σ von m verifizieren:

pr¨ ufe ˜ b: e(˜ a, Y ) = ? e(g , ˜ b) pr¨ ufe ˆ c : ZPK

(τ ) : e(X , ˜ a) · e (X , b) ˜ m = ? e(g , ˆ c) τ

(46)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind verifizieren

Commitment der Signatur: w¨ ahle r , r 0R Z q , berechne

˜

σ =

˜

a = a r , b ˜ = b r , ˆ c = ˜ c r

0

= c rr

0

˜

σ von m verifizieren:

pr¨ ufe ˜ b: e(˜ a, Y ) = ? e(g , ˜ b) pr¨ ufe ˆ c : ZPK

(τ ) : e(X , ˜ a) · e (X , b) ˜ m = ? e(g , ˆ c) τ

(47)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind signieren

Nachricht M = g m · Z r , geheimer Schl¨ ussel sk = (x, y, z ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y , Z = g z )

m mit M blind signieren:

w¨ ahle α ∈ R G , pr¨ ufe ZPK {(µ, %) : M = g µ · Z % }, setze Signatur σ = (a = g α , A = a z , b = a y , B = A y , c = a x M αxy )

σ von m verifizieren:

pr¨ ufe A: e(a, Z ) = ? e(g , A)

pr¨ ufe b und B : e (a, Y ) = ? e (g , b) und e(A, Y ) = ? e(g , B)

pr¨ ufe c : e(X , a) · e(X , b) m · e (X , B ) r = ? e (g , c )

(48)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind signieren

Nachricht M = g m · Z r , geheimer Schl¨ ussel sk = (x, y, z ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y , Z = g z )

m mit M blind signieren:

w¨ ahle α ∈ R G , pr¨ ufe ZPK {(µ, %) : M = g µ · Z % }, setze Signatur σ = (a = g α , A = a z , b = a y , B = A y , c = a x M αxy )

σ von m verifizieren:

pr¨ ufe A: e(a, Z ) = ? e(g , A)

pr¨ ufe b und B : e (a, Y ) = ? e (g , b) und e(A, Y ) = ? e(g , B)

pr¨ ufe c : e(X , a) · e(X , b) m · e (X , B ) r = ? e (g , c )

(49)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind signieren

Nachricht M = g m · Z r , geheimer Schl¨ ussel sk = (x, y, z ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y , Z = g z )

m mit M blind signieren:

w¨ ahle α ∈ R G , pr¨ ufe ZPK {(µ, %) : M = g µ · Z % }, setze Signatur σ = (a = g α , A = a z , b = a y , B = A y , c = a x M αxy )

σ von m verifizieren:

pr¨ ufe A: e(a, Z ) = ? e(g , A)

pr¨ ufe b und B : e (a, Y ) = ? e (g , b) und e(A, Y ) = ? e(g , B)

pr¨ ufe c : e(X , a) · e(X , b) m · e (X , B ) r = ? e (g , c )

(50)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind signieren

Nachricht M = g m · Z r , geheimer Schl¨ ussel sk = (x, y, z ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y , Z = g z )

m mit M blind signieren:

w¨ ahle α ∈ R G , pr¨ ufe ZPK {(µ, %) : M = g µ · Z % }, setze Signatur σ = (a = g α , A = a z , b = a y , B = A y , c = a x M αxy )

σ von m verifizieren:

pr¨ ufe A: e(a, Z ) = ? e(g , A)

pr¨ ufe b und B : e (a, Y ) = ? e (g , b) und e(A, Y ) = ? e(g , B)

pr¨ ufe c : e(X , a) · e(X , b) m · e (X , B ) r = ? e (g , c )

(51)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind signieren

Nachricht M = g m · Z r , geheimer Schl¨ ussel sk = (x, y, z ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y , Z = g z )

m mit M blind signieren:

w¨ ahle α ∈ R G , pr¨ ufe ZPK {(µ, %) : M = g µ · Z % }, setze Signatur σ = (a = g α , A = a z , b = a y , B = A y , c = a x M αxy )

σ von m verifizieren:

pr¨ ufe A: e(a, Z ) = ? e(g , A)

pr¨ ufe b und B : e (a, Y ) = ? e (g , b) und e(A, Y ) = ? e(g , B)

pr¨ ufe c : e(X , a) · e(X , b) m · e (X , B ) r = ? e (g , c )

(52)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind signieren

Nachricht M = g m · Z r , geheimer Schl¨ ussel sk = (x, y, z ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y , Z = g z )

m mit M blind signieren:

w¨ ahle α ∈ R G , pr¨ ufe ZPK {(µ, %) : M = g µ · Z % }, setze Signatur σ = (a = g α , A = a z , b = a y , B = A y , c = a x M αxy )

σ von m verifizieren:

pr¨ ufe A: e(a, Z ) = ? e(g , A)

pr¨ ufe b und B : e (a, Y ) = ? e (g , b) und e(A, Y ) = ? e(g , B)

pr¨ ufe c : e(X , a) · e(X , b) m · e (X , B ) r = ? e (g , c )

(53)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind signieren

Nachricht M = g m · Z r , geheimer Schl¨ ussel sk = (x, y, z ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y , Z = g z )

m mit M blind signieren:

w¨ ahle α ∈ R G , pr¨ ufe ZPK {(µ, %) : M = g µ · Z % }, setze Signatur σ = (a = g α , A = a z , b = a y , B = A y , c = a x M αxy )

σ von m verifizieren:

pr¨ ufe A: e(a, Z ) = ? e(g , A)

pr¨ ufe b und B : e (a, Y ) = ? e (g , b) und e(A, Y ) = ? e(g , B)

pr¨ ufe c : e(X , a) · e(X , b) m · e (X , B ) r = ? e (g , c )

(54)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind signieren

Nachricht M = g m · Z r , geheimer Schl¨ ussel sk = (x, y, z ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y , Z = g z )

m mit M blind signieren:

w¨ ahle α ∈ R G , pr¨ ufe ZPK {(µ, %) : M = g µ · Z % }, setze Signatur σ = (a = g α , A = a z , b = a y , B = A y , c = a x M αxy )

σ von m verifizieren:

pr¨ ufe A: e(a, Z ) = ? e(g , A)

pr¨ ufe b und B : e (a, Y ) = ? e (g , b) und e(A, Y ) = ? e(g , B)

pr¨ ufe c : e(X , a) · e(X , b) m · e (X , B ) r = ? e (g , c )

(55)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind signieren

Nachricht M = g m · Z r , geheimer Schl¨ ussel sk = (x, y, z ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y , Z = g z )

m mit M blind signieren:

w¨ ahle α ∈ R G , pr¨ ufe ZPK {(µ, %) : M = g µ · Z % }, setze Signatur σ = (a = g α , A = a z , b = a y , B = A y , c = a x M αxy )

σ von m verifizieren:

pr¨ ufe A: e(a, Z ) = ? e(g , A)

pr¨ ufe b und B : e (a, Y ) = ? e (g , b) und e(A, Y ) = ? e(g , B)

pr¨ ufe c : e(X , a) · e(X , b) m · e (X , B ) r = ? e (g , c )

(56)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind signieren

Nachricht M = g m · Z r , geheimer Schl¨ ussel sk = (x, y, z ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y , Z = g z )

m mit M blind signieren:

w¨ ahle α ∈ R G , pr¨ ufe ZPK {(µ, %) : M = g µ · Z % }, setze Signatur σ = (a = g α , A = a z , b = a y , B = A y , c = a x M αxy )

σ von m verifizieren:

pr¨ ufe A: e(a, Z ) = ? e(g , A)

pr¨ ufe b und B : e (a, Y ) = ? e (g , b) und e(A, Y ) = ? e(g , B)

pr¨ ufe c : e(X , a) · e(X , b) m · e (X , B ) r = ? e (g , c )

(57)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind signieren

Nachricht M = g m · Z r , geheimer Schl¨ ussel sk = (x, y, z ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y , Z = g z )

m mit M blind signieren:

w¨ ahle α ∈ R G , pr¨ ufe ZPK {(µ, %) : M = g µ · Z % }, setze Signatur σ = (a = g α , A = a z , b = a y , B = A y , c = a x M αxy )

σ von m verifizieren:

pr¨ ufe A: e(a, Z ) = ? e(g , A)

pr¨ ufe b und B : e (a, Y ) = ? e (g , b) und e(A, Y ) = ? e(g , B)

pr¨ ufe c : e(X , a) · e(X , b) m · e (X , B ) r = ? e (g , c )

(58)

Kryptographische Primitive CL Signatur Literatur

CL Signatur

blind signieren

Nachricht M = g m · Z r , geheimer Schl¨ ussel sk = (x, y, z ), ¨ offentlicher Schl¨ ussel pk = (X = g x , Y = g y , Z = g z )

m mit M blind signieren:

w¨ ahle α ∈ R G , pr¨ ufe ZPK {(µ, %) : M = g µ · Z % }, setze Signatur σ = (a = g α , A = a z , b = a y , B = A y , c = a x M αxy )

σ von m verifizieren:

pr¨ ufe A: e(a, Z ) = ? e(g , A)

pr¨ ufe b und B : e (a, Y ) = ? e (g , b) und e(A, Y ) = ? e(g , B)

pr¨ ufe c : e(X , a) · e(X , b) m · e (X , B ) r = ? e (g , c )

(59)

Kryptographische Primitive CL Signatur Literatur

Literatur

Quellen

Goldreich: Foundations of Cryptography - A Primer. now Boston Delft 2005.

Goldreich: A Short Tutorial of Zero-Knowledge. 2010.

Camenisch und Stadler: Proof Systems for General Statements about Discrete Logarithms. 1997.

Agnes Chan, Yair Frankel und Yiannis Tsiounis: Easy come — Easy go

divisible cash. 1998.

(60)

Kryptographische Primitive CL Signatur Literatur

Literatur

Quellen

Camenisch und Lysyanskaya: Signature Schemes and Anonymous Credentials from Bilinear Maps. 2005.

Camenisch, Hohenberger und Lysyanskaya: Compact E-Cash. 2006.

Bethencourt: Intro to Bilinear Maps. Vortrag 2006.

Dan Boneh, Matthew K. Franklin, Identity-Based Encryption from the Weil Pairing. 2001.

The P(airing) B(ased) C(ryptography) library, designed by Ben Lynn et.

al. is an open C-project based on GMP (http://crypto.stanford.edu/pbc/).

(61)

Kryptographische Primitive CL Signatur Literatur

Literatur

blind verifizieren

Commitment der Signatur: w¨ ahle r , r 0R Z q , berechne

˜

σ =

˜

a = a r , b ˜ = b r , ˆ c = ˜ c r

0

= c rr

0

˜

σ von M verifizieren:

pr¨ ufe ˜ b: e(˜ a, Y ) = ? e(g , ˜ b) pr¨ ufe ˆ c : ZPK

(τ, µ, %) : e(X , ˜ a) · e (X , b) ˜ µ = ? e(g , ˆ c) τ und M = g µ · Z %

(62)

Kryptographische Primitive CL Signatur Literatur

Literatur

blind verifizieren

Commitment der Signatur: w¨ ahle r , r 0R Z q , berechne

˜

σ =

˜

a = a r , b ˜ = b r , ˆ c = ˜ c r

0

= c rr

0

˜

σ von M verifizieren:

pr¨ ufe ˜ b: e(˜ a, Y ) = ? e(g , ˜ b) pr¨ ufe ˆ c : ZPK

(τ, µ, %) : e(X , ˜ a) · e (X , b) ˜ µ = ? e(g , ˆ c) τ und M = g µ · Z %

(63)

Kryptographische Primitive CL Signatur Literatur

Literatur

blind verifizieren

Commitment der Signatur: w¨ ahle r , r 0R Z q , berechne

˜

σ =

˜

a = a r , b ˜ = b r , ˆ c = ˜ c r

0

= c rr

0

˜

σ von M verifizieren:

pr¨ ufe ˜ b: e(˜ a, Y ) = ? e(g , ˜ b) pr¨ ufe ˆ c : ZPK

(τ, µ, %) : e(X , ˜ a) · e (X , b) ˜ µ = ? e(g , ˆ c) τ und M = g µ · Z %

(64)

Kryptographische Primitive CL Signatur Literatur

Literatur

blind verifizieren

Commitment der Signatur: w¨ ahle r , r 0R Z q , berechne

˜

σ =

˜

a = a r , b ˜ = b r , ˆ c = ˜ c r

0

= c rr

0

˜

σ von M verifizieren:

pr¨ ufe ˜ b: e(˜ a, Y ) = ? e(g , ˜ b) pr¨ ufe ˆ c : ZPK

(τ, µ, %) : e(X , ˜ a) · e (X , b) ˜ µ = ? e(g , ˆ c) τ und M = g µ · Z %

(65)

Kryptographische Primitive CL Signatur Literatur

Literatur

blind verifizieren

Commitment der Signatur: w¨ ahle r , r 0R Z q , berechne

˜

σ =

˜

a = a r , b ˜ = b r , ˆ c = ˜ c r

0

= c rr

0

˜

σ von M verifizieren:

pr¨ ufe ˜ b: e(˜ a, Y ) = ? e(g , ˜ b) pr¨ ufe ˆ c : ZPK

(τ, µ, %) : e(X , ˜ a) · e (X , b) ˜ µ = ? e(g , ˆ c) τ und M = g µ · Z %

(66)

Kryptographische Primitive CL Signatur Literatur

Literatur

blind verifizieren

Commitment der Signatur: w¨ ahle r , r 0R Z q , berechne

˜

σ =

˜

a = a r , b ˜ = b r , ˆ c = ˜ c r

0

= c rr

0

˜

σ von M verifizieren:

pr¨ ufe ˜ b: e(˜ a, Y ) = ? e(g , ˜ b) pr¨ ufe ˆ c : ZPK

(τ, µ, %) : e(X , ˜ a) · e (X , b) ˜ µ = ? e(g , ˆ c) τ und M = g µ · Z %

(67)

Kryptographische Primitive CL Signatur Literatur

Literatur

blind verifizieren

Commitment der Signatur: w¨ ahle r , r 0R Z q , berechne

˜

σ =

˜

a = a r , b ˜ = b r , ˆ c = ˜ c r

0

= c rr

0

˜

σ von M verifizieren:

pr¨ ufe ˜ b: e(˜ a, Y ) = ? e(g , ˜ b) pr¨ ufe ˆ c : ZPK

(τ, µ, %) : e(X , ˜ a) · e (X , b) ˜ µ = ? e(g , ˆ c) τ und M = g µ · Z %

(68)

Kryptographische Primitive CL Signatur Literatur

Literatur

blind verifizieren

Commitment der Signatur: w¨ ahle r , r 0R Z q , berechne

˜

σ =

˜

a = a r , b ˜ = b r , ˆ c = ˜ c r

0

= c rr

0

˜

σ von M verifizieren:

pr¨ ufe ˜ b: e(˜ a, Y ) = ? e(g , ˜ b) pr¨ ufe ˆ c : ZPK

(τ, µ, %) : e(X , ˜ a) · e (X , b) ˜ µ = ? e(g , ˆ c) τ und M = g µ · Z %

Referenzen

ÄHNLICHE DOKUMENTE

Mitarbeit im Projekt &#34;Das digitale Bild als Lehr- und Lernmedium in der Kunstgeschichte und Archaeologie&#34;, Koordinierung sowie selbstaendige Implementierung

Der formorientierte Ansatz der Wiener Schule der Kunstgeschichte und die Entwicklung nationaler Kunsthistoriographien in den. nicht-deutschsprachigen Gebieten

Gesucht wird die Sammlungsleitung der Kunstsammlung (Kustodie) für die Betreuung des Kunst- schatzes der Humboldt-Universität zu Berlin.. Die Sammlung umfasst weit über 1000 Objekte

1) Skipping the Rejection Condition: Lyubashevsky first applied rejection sampling (introduced by von Neu- mann [30]) to lattice-based signature schemes to assure that signatures

Zwei Reisen: Nach dem Al- gerienkrieg, mit sechzehn, wird Sohara wie alle arabi- schen Juden aus der algeri- schen Heimat vertrieben und nach Frankreich „repa- triiert“; Jahre

Please submit your application (including a cover letter, CV, and academic certificates) within 4 weeks, quoting the reference number AN/019/21, to: Humboldt-Universität zu

Bewerbungen (mit Anschreiben, Lebenslauf, relevanten Zeugnissen, Zusammenfassung der Dis- sertation; Abstract des geplanten Forschungsprojekts (je max. 2 Seiten); Probetext (Kapitel

Beispiel 1: Differentialgeometrie von Kurven und Fl¨ achen Ist die Sph¨ are lokal isometrisch zur Ebene.. Antwort: Eine Fl¨ ache ist genau da lokal isometrisch zur Ebene, wo ihre