Algorithmische Kryptographie (WS2012/13) Kapitel 8 Elektronisches Geld Walter Unger

Volltext

(1)Algorithmische Kryptographie (WS2012/13) Kapitel 8 Elektronisches Geld Walter Unger Lehrstuhl für Informatik 1. 9:59 Uhr, den 13. Dezember 2012.

(2) Einleitung. Motivation. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:2). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Inhalt I 1. Einleitung Anforderungen Einfaches Protokoll (1978, Shimon Even (1935-2004)) Sicherheitsaspekte zum einfachen Protokoll Einfaches Protokoll mit Steuersatz. 2. Motivation Grundlagen Anonymes Geld Ziel. 3. Grundlagen Motivation Idee: Schnorrs Identifikation Schnorrs Identifikation (nicht-interaktive Version) Sicherheit Aufbau einer blinden Unterschrift. 4. Sicherheit Sicherheit des Kunden Sicherheit der Bank. Z. Sicherheitsaspekte. 5. Protokolle Blinde Unterschriften Blinde Unterschrift mit zwei gleichen Logarithmen. 6. Aufbau Faires Elektronisches Geld (Systemaufbau). 7. On-Line System Einleitung Münze von der Bank abheben Zahlungsverkehr Sicherheitsaspekte Zusammenfassung. 8. Off-Line System Einleitung Münze von der Bank abheben Bezahlung im Geschäft Einzahlung bei der Bank. 9. Sicherheitsaspekte Rückverfolgung Sicherheitsaspekte und zugrundeliegende Probleme. x.

(3) Einleitung. Motivation. Anforderungen. Grundlagen. Sicherheit. (8:1). Protokolle. Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Anforderungen an Elektronisches Geld 1. Soll mindestens so sicher sein wie eine normale Brieftasche.. 2. Sollte denselben Freiheitsgrad wie beim Umgang mit Geld liefern.. 3. Sollte anonymen Zahlungsverkehr ermöglichen.. 4. Sollte keine hohen Zusatzkosten benötigen.. Die ersten beiden Forderungen wurden bereits 1978 durch ein Protokoll von Shimon Even realisiert.. Z. Sicherheitsaspekte g.

(4) Einleitung. Motivation. Grundlagen. Sicherheit. Protokolle. Einfaches Protokoll (1978, Shimon Even (1935-2004)). Aufbau. (8:2). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Idee Bank X : sigA (A zahlt an B 1500) 2. 1. 4 sigX (A ist Kunde von X ). 6. Konto von B enthällt: 12000 + 1500 = 13500. sigB (A zahlt an B 1500) 5. Konto von A enthält: 2300 − 1500 = 800. Kunde A:. Kunde B:. 3. sigB (A zahlt an B 1500). sigX (B ist Kunde von X ) sigA (A zahlt an B 1500). Sehr einfache Idee. Einfache Anwendung von Unterschriften. Entspricht also Schuldschein und Quittung.. Z. Sicherheitsaspekte i.

(5) Einleitung. Motivation. Grundlagen. Sicherheit. Protokolle. Einfaches Protokoll (1978, Shimon Even (1935-2004)). (8:3). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Einleitung Direkte Anwendung von Public-Keys. Basierte auf dem Austausch von Quittungen und Unterschriften. Benutzt Taschencomputer mit Infrarotkommunikationsschnittstelle. Gerät sollte gegen gewaltsames Öffnen gesichert sein. Ein automatischer Einzug von Steuern würde möglich. Rechner wird von Bank mit Geld gefüllt, d.h. erhält ein von der Bank unterschriebenes Public-Key-Verfahren für den Nutzer und den öffentlichen Schlüssel der Bank. Damit können nun Quittungen und unterschriebene Rechnungen ausgetauscht werden. Diese können später bei der Bank zum Kontoausgleich vorgelegt werden. Der Kassenstand der elektronischen Brieftasche wird durch diese verwaltet.. Z. Sicherheitsaspekte i.

(6) Einleitung. Motivation. Grundlagen. Sicherheit. Protokolle. Einfaches Protokoll (1978, Shimon Even (1935-2004)). (8:4). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Systemaufbau Beteiligte Partner sind A, B (Privatpersonen) und X (Bank). Die Bank kennt dabei DX , EX , DA , EA , DB , EB und die Kontostände. X : DX , EX Bestimmt: EA , DA IA := DX (EA ) A:. n =zu übertragender Geldwert t =aktuelle Zeit. EX , DA , EA , IA , t, n. EX , DA , EA , IA , t, n. Bestimmt: EB , DB IB := DX (EB ) B:. n =zu übertragender Geldwert t =aktuelle Zeit. EX , DB , EB , IB , t, n. EX , DB , EB , IB , t, n. Z. Sicherheitsaspekte i.

(7) Einleitung. Motivation. Grundlagen. Sicherheit. Protokolle. Einfaches Protokoll (1978, Shimon Even (1935-2004)). Aufbau. (8:5). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Übertragung von Geld zwischen A und B A: DA , EA , EX , DX (EA ), nA , tA ,. B: DB , EB , EX , DX (EB ), nB , tB. zA (zu sendender Betrag). zB (zu empfangender Betrag) A, zA , DX (EA ). !. testet: zB = zA !. B, zB , tB , r , DX (EB ). testet: zB = zA. r := Zufallszahl. |tA − tB | < ε Sekunden testet: nA > zA nA := nA − zA !. −zA tB r = EB (DB (−zA tB r )). A, DA (zA tA r ). !. zA tA r = EA (DA (zA tA r )) B, DB (−zA tB r ). nB := nB + zB. Z. Sicherheitsaspekte. WS2012/13. i.

(8) Einleitung. Motivation. Grundlagen. Sicherheit. Sicherheitsaspekte zum einfachen Protokoll. Protokolle. Aufbau. (8:6). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Sicherheitsaspekte A: DA , EA , EX , DX (EA ), nA , tA , zA (zu sendender Betrag) !. B: DB , EB , EX , DX (EB ), nB , tB A, zA , DX (EA ) B, zB , tB , r , DX (EB ). testet: zB = zA |tA − tB | < ε Sekunden testet: nA > zA nA := nA − zA !. −zA tB r = EB (DB (−zA tB r )). A, DA (zA tA r ) B, DB (−zA tB r ). Z. Sicherheitsaspekte. zB (zu empfangender Betrag) !. testet: zB = zA r := Zufallszahl. !. zA tA r = EA (DA (zA tA r )) nB := nB + zB. 1. Verfahren ist so sicher wie die unterliegenden Verfahren.. 2. Jeder Zahlungsverkehr ist durch die Bank direkt nachvollziehbar.. 3. Ein Vorteil ist, dass man bei jedem Zahlungsverkehr Steuern erheben kann.. 4. Dann würde ein Steuersatz unter 3% alle anderen Steuern ersetzen.. 5. Für das Erheben der Steuern entstehen fast keine Zusatzkosten.. i.

(9) Einleitung. Motivation. Grundlagen. Einfaches Protokoll mit Steuersatz. Sicherheit. Protokolle. Aufbau. (8:7). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Übertragung zwischen A und B mit Steuersatz Staat druckt (erzeugt) Geld und kassiert es durch Steuern wieder ein. Das ist viel Aufwand. Idee: der Steuersatz verschwindet bei der Übertragung. A: DA , EA , EX , DX (EA ), nA , tA , zA (zu sendender Betrag). B: DB , EB , EX , DX (EB ), nB , tB A, zA , DX (EA ). zB (zu empfangender Betrag) !. !. testet: zB = zA · (1 − δ). B, zB , tB , r , DX (EB ). testet: zB = zA · (1 − δ) r := Zufallszahl. |tA − tB | < ε Sekunden testet: nA > zA nA := nA − zA !. −zA tB r = EB (DB (−zA tB r )). A, DA (zA tA r ) B, DB (−zA tB r ). !. zA tA r = EA (DA (zA tA r )) nB := nB + zB. Z. Sicherheitsaspekte i.

(10) Einleitung. Motivation. Grundlagen. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:8). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Situation (Basis). 1. 5. Staat:. Bank X :. 4. 2. Kunde:. Laden: 3. Z. Sicherheitsaspekte. WS2012/13. g.

(11) Einleitung. Motivation. Grundlagen. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:9). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Situation (Rückverfolgung). 1. 5. Staat:. Bank X :. 4. 2. Kunde:. Laden: 3. Z. Sicherheitsaspekte. WS2012/13. g.

(12) Einleitung. Motivation. Anonymes Geld. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:10). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Situation (Ohne Rückverfolgung). 1. 5. Staat:. Bank X :. 4. 2. Kunde:. Laden: 3. Z. Sicherheitsaspekte. WS2012/13. g.

(13) Einleitung. Motivation. Anonymes Geld. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:11). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Situation (Ohne Rückverfolgung, mit Kopie) Staat:. 1. Bank X :. 4. 2. Kunde:. Laden: 3. Z. Sicherheitsaspekte. WS2012/13. g.

(14) Einleitung. Motivation. Anonymes Geld. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:12). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Situation (Ziel: Ohne Rückverfolgung, ohne Kopie). 1. 5. Staat:. Bank X :. 4. 2. Kunde:. Laden: 3. Z. Sicherheitsaspekte g.

(15) Einleitung. Motivation. Anonymes Geld. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:13). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Situation (Ohne Rückverfolgung, doppelter Zahlung) Staat:. 1. Bank X :. 4. 4. 2. Laden A:. Kunde: 3. Laden B: 3. Problematisch nur im Off-Line Fall.. Z. Sicherheitsaspekte g.

(16) Einleitung Ziel. Motivation. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:14). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Situation (Rückverfolgung nur durch Staat) Staat: ←Kunde→ 1. 2. Bank X :. 4. 2. Kunde:. Laden: 3. Z. Sicherheitsaspekte. WS2012/13. g.

(17) Einleitung. Motivation. Motivation. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:15). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Einleitung 1. Heute will man aber faire Systeme.. 2. Also Systeme, die den Zahlungsverkehr nicht der Bank offen legen.. 3. Ein Nachverfolgen des Zahlungsverkehrs sollte nur über eine autorisierte Stelle (Staat) möglich sein.. 4. Idee zur Anonymisierung des Zahlungsverkehrs ist eine blinde digitale Unterschrift der Bank unter einer Münze.. 5. Nur der Staat kann die Unterschrift ggf. lesen.. g.

(18) Einleitung. Motivation. Grundlagen. Idee: Schnorrs Identifikation. Sicherheit. Protokolle. (8:16). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Voraussetzungen 1. p, q Primzahlen mit q teilt p − 1.. 2. G Untergruppe der Ordnung q in Z∗p .. 3. g Generator in G.. 4. h : {0, 1}∗ → Zp kollisionssichere Hashfunktion.. 5. Der geheime Schlüssel ist dann x ∈ {0, . . . , q − 1}.. 6. Und der öffentliche Schlüssel (p, q, g, y ) mit y = g x .. 7. Damit wird Schnorrs Identifikations-Protokoll aufgebaut.. Z. Sicherheitsaspekte. WS2012/13. g.

(19) Einleitung. Motivation. Grundlagen. Idee: Schnorrs Identifikation. Sicherheit. Protokolle. (8:17). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Protokoll ProofLog(g, y ). Z. Sicherheitsaspekte. WS2012/13. g. G Untergruppe der Ordnung q in Z∗ p g Generator in G ∗ h : {0, 1} → Zp y = gx. Protokoll ProofLog(g, y ): ProofLog(g, y ) P: x , y , g, p, q. V : y , g, p, q. r ∈ {0, . . . , q − 1} zufällig a := g r. a. b := r − cx. c b. c ∈ {0, . . . , q − 1} zufällig. ?. teste: a ≡ g b y c. Dieses Protokoll kann mit der Hashfunktion h einfach in eine nicht-interaktive Version übertragen werden. Dabei wird ggf. gleichzeitig eine Nachricht m unterschrieben..

(20) Einleitung. Motivation. Grundlagen. Sicherheit. Schnorrs Identifikation (nicht-interaktive Version). Protokolle. Aufbau. (8:18). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Protokoll σ(m) = (c, b) = ProofLogh (m, g, y ). a c b. c ∈ {0, . . . , q − 1} zufällig ? teste: a ≡ g b y c. Das Protokoll: ProofLogh (m, g, y ) σ(m) = (c, b) = ProofLogh (m, g, y ) P: x , y , g, p, q, h. V : y , g, p, q, h. r ∈ {0, . . . , q − 1} zufällig a := g r c := h(m ◦ a) b := r − cx. (c, b), m. s. G Untergruppe der Ordnung q in Z∗ p g Generator in G ∗ h : {0, 1} → Zp y = gx ProofLog(g, y ). ProofLog(g, y ) P: x , y , g, p, q V : y , g, p, q r ∈ {0, . . . , q − 1} zufällig a := g r b := r − cx. Z. Sicherheitsaspekte. ?. Teste: c = h(m ◦ g b y c ). Falls m = ε schreiben wir (c, b) = ProofLogh (g, y ). Dann ist dies ein nicht-interaktiver Beweis der Kenntnis von logg (y )..

(21) Einleitung. Motivation. Sicherheit. (8:19). Grundlagen. Sicherheit. Protokolle. Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Sicherheitsaspekte. (c, b), m. ?. Teste: c = h(m ◦ g b y c ). 1. Die Sicherheit ergibt sich aus der Schwierigkeit, den diskreten Logarithmus logg (y ) zu bestimmen.. 2. Falls das gleiche r für zwei verschiedenen Nachrichten m1 , m2 verwendet wird, so ist das Verfahren unsicher.. 3. Sei σ(mi ) = (ci , bi ) für i ∈ {1, 2}.. 4. Dann gilt: g r = g b1 y c1 = g b2 y c2 .. 5. Weiter gilt: g b1 +xc1 = g b2 +xc2 und damit x =. 6. s. G Untergruppe der Ordnung q in Z∗ p g Generator in G ∗ h : {0, 1} → Zp y = gx ProofLog(g, y ) σ(m) = (c, b) = ProofLogh (m, g, y ) ProofLogh (g, y ). σ(m) = (c, b) = ProofLogh (m, g, y ) P: x , y , g, p, q, h V : y , g, p, q, h r ∈ {0, . . . , q − 1} zufällig a := g r c := h(m ◦ a) b := r − cx. Z. Sicherheitsaspekte. b1−b2 . c2 −c1. Beachte dabei: G Untergruppe der Ordnung q in Z∗p und g Generator in G..

(22) Einleitung. Motivation. Grundlagen. Aufbau einer blinden Unterschrift. Sicherheit. (8:20). Protokolle. Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Einleitung. g. ProofLog(g, y ) σ(m) = (c, b) = ProofLogh (m, g, y ) ProofLogh (g, y ). 1. Aus diesem Protokoll machen wir nun eine blinde Unterschrift.. 2. Dazu wird der Kunde von der Bank eine blinde Unterschrift anfordern.. 3. Aber er wird nicht dem Geschäft gegenüber diese Unterschrift vorlegen, sondern eine von dem Kunden transformierte Unterschrift.. 4. Damit ist es dann der Bank nicht mehr möglich, durch Speichern aller Kommunikationen, auf den auf Verbleib der ausgegebenen Münzen zu schließen.. 5. Für dieses Protokoll und die notwendige Transformation der Unterschrift bauen wir zuerst die Idee auf:.

(23) Einleitung. Motivation. Grundlagen. Aufbau einer blinden Unterschrift. Sicherheit. Protokolle. Aufbau. (8:21). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Idee einer blinden Unterschrift. (c, b), m. ?. Teste: c = h(m ◦ g b y c ). P: x , y , g, p, q. V : y , g, p, q, m. r ∈ {0, . . . , q − 1} zufällig a := g r b := r − cx. WS2012/13. s. ProofLog(g, y ) σ(m) = (c, b) = ProofLogh (m, g, y ) ProofLogh (g, y ). σ(m) = (c, b) = ProofLogh (m, g, y ) P: x , y , g, p, q, h V : y , g, p, q, h r ∈ {0, . . . , q − 1} zufällig a := g r c := h(m ◦ a) b := r − cx. Z. Sicherheitsaspekte. a. c = h(m, . . .). c b. ? Teste: a ≡ g b y c.

(24) Einleitung. Motivation. Grundlagen. Aufbau einer blinden Unterschrift. Sicherheit. Protokolle. Aufbau. (8:22). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Idee einer blinden Unterschrift (Teil 2) P: x , y , g, p, q r ∈ {0, . . . , q − 1} zufällig a := g r b := r − cx. V : y , g, p, q, m a c b. Z. Sicherheitsaspekte s. ProofLog(g, y ) σ(m) = (c, b) = ProofLogh (m, g, y ) ProofLogh (g, y ). c = h(m, . . .) ? Teste: a ≡ g b y c. 1. Die Bank könnte dieses Transcript τ = (a, c, b) speichern.. 2. Dann kann sie später auf die Herkunft einer eingezahlten Münze schließen.. 3. Daher formt der Kunde das Transcript τ = (a, c, b) in ein neues Transcript τ = (a, c, b) um.. 4. Dieses neue Transcript τ = (a, c, b) soll aber auch eine gültige Unterschrift der Bank sein.. 5. Dieses neue Transcript kann nur mit Hilfe von τ erzeugt werden.. 6. Ein weiteres Transcript kann vom Kunden nicht erzeugt werden.. 7. Die Transformation erfolgt durch eine Funktion β(u,v ,w ) ..

(25) Einleitung. Motivation. Grundlagen. Aufbau einer blinden Unterschrift. Sicherheit. Protokolle. Aufbau. (8:23). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Idee einer blinden Unterschrift (Teil 2) P: x , y , g, p, q r ∈ {0, . . . , q − 1} zufällig a := g r b := r − cx. β(u,v ,w ) :. c = h(m, . . .) ? Teste: a ≡ g b y c. G × Z2q → G × Z2q (a, c, b) 7→ (a, c, b). s. ProofLog(g, y ) σ(m) = (c, b) = ProofLogh (m, g, y ) ProofLogh (g, y ). V : y , g, p, q, m a c b. Z. Sicherheitsaspekte. mit:. a = au g v y w c = uc + w b = ub + v. Es gilt: a = au g v y w = (g b y c )u g v y w = g ub+v y uc+w = g b y c . Damit ist τ = (a, c, b) auch ein korrektes Transcript einer Unterschrift..

(26) Einleitung. Motivation. Sicherheit des Kunden. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:24). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Sicherheit des Kunden β(u,v ,w ) :. G × Z2q → G × Z2q (a, c, b) 7→ (a, c, b). mit:. c = uc + w b = ub + v. Eine Unterscheidung der Transcripte durch die Bank ist nicht möglich.. Untersuche die Verteilung der Transcripte.. i. ProofLog(g, y ) σ(m) = (c, b) = ProofLogh (m, g, y ) ProofLogh (g, y ) a = au g v y w. Lemma. Beweis.. Z. Sicherheitsaspekte.

(27) Einleitung. Motivation. Sicherheit des Kunden. Grundlagen. Sicherheit. (8:25). Protokolle. Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Sicherheit des Kunden (Beweis) β(u,v ,w ) :. G × Z2q → G × Z2q (a, c, b) 7→ (a, c, b). mit:. Z. Sicherheitsaspekte i. ProofLog(g, y ) σ(m) = (c, b) = ProofLogh (m, g, y ) ProofLogh (g, y ) a = au g v y w c = uc + w b = ub + v. Falls u, v , w zufällig gewählt werden, so sind τ und τ unabhängig. Für τ = (a, c, b) gibt es jedes (a, c, b) genau q-mal in β(u,v ,w ) (a, c, b) mit (u, v , w ) ∈ Z3q . Damit ist die Wahrscheinlichkeit, dass τ = (a, c, b) eine Transformation von τ = (a, c, b) ist |{(u, v , w ) ∈ Z3q | β(u,v ,w ) (a, c, b) = (a, c, b)}| = q −2 |Z3q | gleich der eines zufällig gewählten Transcripts τ = (a, c, b). Damit ist eine Unterscheidung durch die Bank nicht möglich..

(28) Einleitung. Motivation. Sicherheit der Bank. Grundlagen. Sicherheit. Protokolle. (8:26). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Sicherheit der Bank. i. ProofLog(g, y ) σ(m) = (c, b) = ProofLogh (m, g, y ) ProofLogh (g, y ). Lemma Die oben beschriebene Transformation ist die einzig mögliche. Beweis. Das wird in zwei Schritten gezeigt: 1. Zeige a := au g v y w muss so gesetzt werden.. 2. Falls τ = (a, c, b) korrektes Transcript ist, so sind c und b auch so zu setzen..

(29) Einleitung. Motivation. Sicherheit der Bank. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:27). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Sicherheit der Bank (1. Teil) P: x , y , g, p, q r ∈ {0, . . . , q − 1} zufällig a := g r b := r − cx. V : y , g, p, q, m a c b. Z. Sicherheitsaspekte i. ProofLog(g, y ) σ(m) = (c, b) = ProofLogh (m, g, y ) ProofLogh (g, y ). c = h(m, . . .) ? Teste: a ≡ g b y c. Zeige a := au g v y w muss so gesetzt werden. Annahme a := au g v y w g 0 , dann gilt: a = au g v y w g 0 = (g b y c )u g v y w g 0 = g ub+v y uc+w g 0 = g b y c . Die letzte Gleichung muss gelten, da τ = (a, c, b) korrektes Transcript sein muss. Damit gilt: g b−(ub+v )+x (c−(uc+w )) = g 0 . Damit können der Kunde und die Bank den diskreten Logarithmus logg (g 0 ) bestimmen. Da g 0 zufällig gewählt worden ist, kann dieses nicht sein..

(30) Einleitung. Motivation. Sicherheit der Bank. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:28). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Sicherheit der Bank (2. Teil) P: x , y , g, p, q r ∈ {0, . . . , q − 1} zufällig a := g r b := r − cx. V : y , g, p, q, m a c b. Z. Sicherheitsaspekte i. ProofLog(g, y ) σ(m) = (c, b) = ProofLogh (m, g, y ) ProofLogh (g, y ). c = h(m, . . .) ? Teste: a ≡ g b y c. Falls τ = (a, c, b) korrektes Transcript ist, so sind c und b wie oben zu setzen. Aus g b y c = a = au g v y w = (g b y c )u g v y w = g ub+v y uc+w folgt g (ub+v )−b = y c−uc+w . Damit gilt nun b = ub + v und c = uc + w , denn sonst könnte x bestimmt werden..

(31) Einleitung. Motivation. Blinde Unterschriften. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:29). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Protokoll BlindLogSigh (m). i. ProofLog(g, y ) σ(m) = (c, b) = ProofLogh (m, g, y ) ProofLogh (g, y ) P: x , y , g, p, q r ∈ {0, . . . , q − 1} zufällig a := g r b := r − cx. V : y , g, p, q, m a c b. β(u,v ,w ) :. c = h(m, . . .). mit:. ?. Teste: a ≡ g b y c. G × Z2q → G × Z2q (a, c, b) 7→ (a, c, b) a = au g v y w c = uc + w b = ub + v. BlindLogSigh (m) P: x , y , g, p, q. V : y , g, p, q, m. r ∈ {0, . . . , q − 1} a := g r. a. u, v , w ∈ {0, . . . , q − 1}, v 6= 0 zufällig a := au g v y w und c := h(m ◦ a). b := r − cx. c b. c := (c − w )u −1 ?. Teste: a ≡ g b y c b := ub + v und σ(m) := (c, b) ?. Ein Test dieser Unterschrift erfolgt durch c = h(m ◦ g b y c )..

(32) Einleitung. Motivation. Blinde Unterschriften. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:30). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Bemerkungen BlindLogSigh (m) P: x , y , g, p, q r ∈ {0, . . . , q − 1} a := g r b := r − cx. V : y , g, p, q, m a c b. Z. Sicherheitsaspekte i. ProofLog(g, y ) σ(m) = (c, b) = ProofLogh (m, g, y ) ProofLogh (g, y ) BlindLogSigh (m). u, v , w ∈ {0, . . . , q − 1}, v 6= 0 zufällig a := au g v y w und c := h(m ◦ a) c := (c − w )u −1 ?. Teste: a ≡ g b y c b := ub + v und σ(m) := (c, b). 1. Es ist nur eine Unterschrift (Münze) möglich, denn h ist kollisionssicher.. 2. Durch die oben genannte Überlegung kann V nur ein a kennen mit au g v y w und zugehörigen korrekten Werten (c, b).. 3. Eine Erweiterung, das Okamoto-Schnorr Protokoll, ist sicher unter der Annahme, dass der Diskrete Logarithmus nicht effizient berechenbar ist.. 4. Schreibweise: (c, b) = BlindLogSigh (m)..

(33) Einleitung. Motivation. Blinde Unterschriften. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:31). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Erinnerung: V : y1 , y2 g, p, q. P: g, p, q. Z. Sicherheitsaspekte. WS2012/13. ProofLog(g, y ) σ(m) = (c, b) = ProofLogh (m, g, y ) ProofLogh (g, y ) BlindLogSigh (m). r ∈ {0, . . . , q − 1} zufällig a := (a1 , a2 ) := (g1r , g2r ). a. b := r − cx. c b. i. c ∈ {0, . . . , q − 1} zufällig. ? Teste: a1 ≡ g1b y1c ? Teste: a2 ≡ g2b y2c. Analog kann ein Protokoll, dass zwei Logarithmen gleich sind, mit blinder Unterschrift aus dem oben genannten Protokoll aufgebaut werden..

(34) Einleitung. Motivation. Grundlagen. Sicherheit. Blinde Unterschrift mit zwei gleichen Logarithmen. Protokolle (8:32). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Protokoll BlindLogSigEqh (g, y , m) V : y , g, p, q, m s, t∈ {0, . . . , q − 1} zufällig, s 6= 0 r ∈ {0, . . . , q − 1} zufällig. m. m := m1/s g −t/s. z := mx a := (a1 , a2 ) := (g r , mr ). a, z. u, v , w ∈ {0, . . . , q − 1}, v 6= 0 zufällig a1 := au1 g v y w a2 := (au2 mv z w )s (au1 g v y w )t z := z s y t c := h(m ◦ z◦a1 ◦a2 ). b := r − cx. c b. c := (c − w )u −1 b := ub + v ?. teste: a1 ≡ g b y c ?. teste: a2 ≡ mb z c Ergebnis: (z,c, b). Geschafft!. WS2012/13. i. ProofLog(g, y ) σ(m) = (c, b) = ProofLogh (m, g, y ) ProofLogh (g, y ) BlindLogSigh (m). BlindLogSigEq P: x , y , g, p, q. Z. Sicherheitsaspekte.

(35) Einleitung. Motivation. Grundlagen. Sicherheit. Blinde Unterschrift mit zwei gleichen Logarithmen. Protokolle (8:33). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Protokoll BlindLogSigEqh (g, y , m) V : y , g, p, q, m. s, t∈ {0, . . . , q − 1} zufällig, s 6= 0 r ∈ {0, . . . , q − 1} zufällig z := mx a := (a1 , a2 ) := (g r , mr ). b := r − cx. m a, z. c b. i. ProofLog(g, y ) σ(m) = (c, b) = ProofLogh (m, g, y ) ProofLogh (g, y ) BlindLogSigh (m). BlindLogSigEq P: x , y , g, p, q. Z. Sicherheitsaspekte. m := m1/s g −t/s u, v , w ∈ {0, . . . , q − 1}, v 6= 0 zufällig a1 := au1 g v y w a2 := (au2 mv z w )s (au1 g v y w )t z := z s y t c := h(m ◦ z◦a1 ◦a2 ) c := (c − w )u −1 b := ub + v ?. teste: a1 ≡ g b y c ? teste: a2 ≡ mb z c Ergebnis: (z,c, b). Schreibweise: (z, c, b) = BlindLogSigEqh (g, y , m). ?. Test der erzeugten blinden Unterschrift: c = h(m ◦ z ◦ g b y c ◦ mb z c ) Weiterhin kann noch eine weitere Nachricht M von P unterschrieben werden, indem M als zusätzlicher Parameter zu h hinzugenommen wird, d.h. h(M ◦ m ◦ z ◦ a1 ◦ a2 ) bestimmt wird..

(36) Einleitung. Motivation. Grundlagen. Sicherheit. Faires Elektronisches Geld (Systemaufbau). Protokolle. (8:34). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Einleitung Im Folgenden entspricht Geld einer einzelnen eine Münze fair übertragen wird.. Z. Sicherheitsaspekte i. ProofLog(g, y ) σ(m) = (c, b) = ProofLogh (m, g, y ) ProofLogh (g, y ) Münze. D.h. wir zeigen, wie h (m) BlindLogSig. Eine Erweiterung auf mehrere Münzen oder auf Münzen von verschiedenem Wert ist einfach. Aufbau: p, q Primzahlen mit q teilt p − 1, G Untergruppe der Ordnung q in Z∗p , g, g1 , g2 Generatoren in G und h : {0, 1}∗ → Zp kollisionssichere Hashfunktion. Es ist wichtig, dass der diskrete Logarithmus zwischen den Generatoren g, g1 , g2 unbekannt ist..

(37) Einleitung. Motivation. Grundlagen. Sicherheit. Faires Elektronisches Geld (Systemaufbau). Protokolle. Aufbau. (8:35). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Aufbau des Systems. y. Staat: g2. Bank: g. BB: g, g1 , g2. Kunde: g1. Laden: g1. wählt x ∈ {1, . . . q − 1} geheimer Schlüssel y. y := g x öffentlicher Schlüssel wählt xT ∈ {1, . . . q − 1} geheimer Schlüssel. yT. yC. yT. x. yT := g2 T öffentlicher Schlüssel wählt xC ∈ {1, . . . q − 1} geheimer Schlüssel yC. x. yC := g1 C öffentlicher Schlüssel wählt xS ∈ {1, . . . q − 1} geheimer Schlüssel. yS. yS. x. yS := g1 S öffentlicher Schlüssel. Kunde belegt seine Identität mit ProofLog(g1 , yC ).. Z. Sicherheitsaspekte i.

(38) Einleitung. Motivation. Einleitung. (8:36). Grundlagen. Sicherheit. Protokolle. Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Einleitung Im Folgenden werden wir zuerst ein on-line System betrachten,. d.h. bei dem Abheben der Münze und beim Bezahlen im Laden wird eine Kommunikation mit der Bank bzw. Staat durchgeführt, um die Münze zu verifizieren. Dann ist das Kopieren einer Münze nicht möglich, da die Bank eine Liste der eingezahlten Münzen vorhält. Das Abheben einer Münze von der Bank geschieht mit einem Protokoll analog zum Protokoll BlindLogSigh mit einer leeren Nachricht m.. i.

(39) Einleitung. Motivation. Grundlagen. Münze von der Bank abheben. Sicherheit. Protokolle. (8:37). Aufbau. On-Line System. <> Walter Unger 13.12.2012 9:59. Situation (Geld abheben) Staat:. a, c, EStaat (u, v , w ). 3:a, c, h. 4:a, c, h. 2:c, h. Speichert: (a, c, b) 7→ (a, c, b). 5:b. Bank X : τ = (a, c, b). 1:a. Kunde:. β(u,v ,w ) (τ ) = τ = (a, c, b) h = EStaat (u, v , w ). Off-Line System. Münze: (c, b). Laden:. Z. Sicherheitsaspekte. WS2012/13. i.

(40) Einleitung. Motivation. Grundlagen. Münze von der Bank abheben. Sicherheit. Protokolle. Aufbau. (8:38). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Münze von der Bank abheben (1.Teil) BlindLogSigh (m) P: x , y , g, p, q V : y , g, p, q, m r ∈ {0, . . . , q − 1} a u, v , w ∈ {0, . . . , q − 1}, v 6= 0 zufällig a := g r a := au g v y w und c := h(m ◦ a) c c := (c − w )u −1 b := r − cx b ? Teste: a ≡ g b y c b := ub + v und σ(m) := (c, b) Bank: g, g1 , g2 , x , y , yC , p, q Kunde: g, g1 , g2 , xC , yC , y , p, q. r ∈ {0, . . . , q − 1} a := g r. a. u, v , w ∈ {0, . . . , q − 1}, v 6= 0 a := au g v y w. c, EyT (u, v , w ). c, EyT (u, v , w ). c := h(a) c := (c − w )u −1 Staat: g, g1 , g2 , xT , yT , yC , y , p, q. a, c, EyT (u, v , w ). (u, v , w ) := DxT (EyT (u, v , w )) ?. test uc + w ≡ h(au g v y w ) Speichert: (a, c) ↔ (u, v , w ). Testergebnis b := r − cx. b. ?. Teste: a ≡ g b y c b := ub + v σ := (c, b) ist die Münze. Z. Sicherheitsaspekte i.

(41) Einleitung. Motivation. Zahlungsverkehr. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:39). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Situation (Geld ausgeben) Staat:. a, c, EStaat (u, v , w ). 4:a, c, h. 3:a, c, h. Speichert: (a, c, b) 7→ (a, c, b). Bank X : τ = (a, c, b). Münze: (c, b) ?. β(u,v ,w ) (τ ) = τ = (a, c, b) h = EStaat (u, v , w ). 7:(c, b). 5:b. 1:a. Kunde:. 2:c, h. c = h(g b y c ). Münze: (c, b). 6:(c, b). Laden: Münze: (c, b) ?. c = h(g b y c ). Problematisch nur im Off-Line Fall.. Z. Sicherheitsaspekte i.

(42) Einleitung. Motivation. Zahlungsverkehr. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:40). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Zahlungsverkehr Bank: g, g1 , g2 , x , y , yC , p, q. Laden: g, g1 , g2 , xS , yS , y , yC , p, q (c, b) b c. Test: c = h(g y ) Test: c = h(g b y c ) Test: (c, b) Ersteinzahlung. (c, b) Testergebnis. Sicherheitstest Testergebnis. Z. Sicherheitsaspekte. Kunde: g, g1 , g2 , xC , yC , y , p, q. i.

(43) Einleitung. Motivation. Sicherheitsaspekte. Grundlagen. (8:41). Sicherheit. Protokolle. Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Zahlungsrückverfolgung und Sicherheit. Z. Sicherheitsaspekte. Der Staat kann über die Verbindung (a, c, b) ↔ (a, b) die Münze zurückverfolgen. Die Sicherheit ergibt sich über die Sicherheit der blinden Unterschrift und die Sicherheit der Verschlüsselungsverfahren.. i.

(44) Einleitung. Motivation. Zusammenfassung. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:42). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Zusammenfassung (Vorbereitung) BB: g, g1 , g2 y yT yC yS. Bank: g y. Staat: g2. Kunde: g1. Laden: g1. wählt x ∈ {1, . . . q − 1} geheimer Schlüssel y := g x öffentlicher Schlüssel wählt xT ∈ {1, . . . q − 1} geheimer Schlüssel yT x yT := g2 T öffentlicher Schlüssel wählt xC ∈ {1, . . . q − 1} geheimer Schlüssel yC x yC := g1 C öffentlicher Schlüssel wählt xS ∈ {1, . . . q − 1} geheimer Schlüssel yS x yS := g1 S öffentlicher Schlüssel. Bank: g, g1 , g2 , x , y , yC , p, q r ∈ {0, . . . , q − 1} a := g r. c, EyT (u, v , w ). a. c, EyT (u, v , w ). Kunde: g, g1 , g2 , xC , yC , y , p, q u, v , w ∈ {0, . . . , q − 1}, v 6= 0 a := au g v y w c := h(a) c := (c − w )u −1 Staat: g, g1 , g2 , xT , yT , yC , y , p, q. a, c, EyT (u, v , w ). (u, v , w ) := DxT (EyT (u, v , w )) ? test uc + w ≡ h(au g v y w ) Speichert: (a, c) ↔ (u, v , w ). Testergebnis b := r − cx. b. ?. Teste: a ≡ g b y c b := ub + v σ := (c, b) ist die Münze. Z. Sicherheitsaspekte i.

(45) Einleitung. Motivation. Zusammenfassung. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:43). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Zusammenfassung Bank: g, g1 , g2 , x , y , yC , p, q r ∈ {0, . . . , q − 1} a := g r. c, EyT (u, v , w ). Kunde: g, g1 , g2 , xC , yC , y , p, q. a. c, EyT (u, v , w ). u, v , w ∈ {0, . . . , q − 1}, v 6= 0 a := au g v y w c := h(a) c := (c − w )u −1 Staat: g, g1 , g2 , xT , yT , yC , y , p, q. a, c, EyT (u, v , w ). (u, v , w ) := DxT (EyT (u, v , w )) ? test uc + w ≡ h(au g v y w ) Speichert: (a, c) ↔ (u, v , w ). Testergebnis b := r − cx. b. Bank: g, g1 , g2 , x , y , yC , p, q. Test: c = h(g b y c ) Test: (c, b) Ersteinzahlung. ?. Teste: a ≡ g b y c b := ub + v σ := (c, b) ist die Münze Laden: g, g1 , g2 , xS , yS , y , yC , p, q (c, b) Kunde: g, g1 , g2 , xC , yC , y , p, q. (c, b) Testergebnis. Test: c = h(g b y c ) Sicherheitstest Testergebnis. Z. Sicherheitsaspekte i.

(46) Einleitung. Motivation. Einleitung. (8:44). Grundlagen. Sicherheit. Protokolle. Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Idee (On-Line −→ Off-Line). Z. Sicherheitsaspekte. WS2012/13. Idee: On-Line: Münze durch blinde Unterschrift. Off-Line: Also keine Kommunikation mit dem Staat. Off-Line: Dann muss Staat später Münze lesen können. Münze: zwei Logarithmen sind gleich (Beteiligt: Staatslogarithmus). Vorgehen: Eine Verdopplung der Münze ist nun möglich. Diese Verdopplung kann vom Kunden und vom Geschäft versucht werden. Aber über den Staat kann man feststellen, wer die Münze verdoppelt hat. Daher wird dieses Mal als Basisprotokoll BlindLogSigEqh verwendet. Dadurch ist eine Rückverfolgung über gemeinsame Exponenten möglich.. i.

(47) Einleitung. Motivation. Einleitung. (8:45). Grundlagen. Sicherheit. Protokolle. Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Erinnerung V : y , g, p, q, m s, t∈ {0, . . . , q − 1} zufällig, s 6= 0 r ∈ {0, . . . , q − 1} zufällig. m. m := m1/s g −t/s. z := mx a := (a1 , a2 ) := (g r , mr ). a, z. u, v , w ∈ {0, . . . , q − 1}, v 6= 0 zufällig a1 := au1 g v y w a2 := (au2 mv z w )s (au1 g v y w )t z := z s y t c := h(m ◦ z◦a1 ◦a2 ). b := r − cx. c b. WS2012/13. i. ProofLog(g, y ) σ(m) = (c, b) = ProofLogh (m, g, y ) ProofLogh (g, y ) BlindLogSigh (m). BlindLogSigEq P: x , y , g, p, q. Z. Sicherheitsaspekte. c := (c − w )u −1 b := ub + v ?. teste: a1 ≡ g b y c ?. teste: a2 ≡ mb z c Ergebnis: (z,c, b) P kennt logg (y ) = logm (z).

(48) Einleitung. Motivation. Einleitung. (8:46). Grundlagen. Sicherheit. Protokolle. Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Einleitung. Z. Sicherheitsaspekte. WS2012/13. i. ProofLog(g, y ) σ(m) = (c, b) = ProofLogh (m, g, y ) ProofLogh (g, y ) BlindLogSigh (m). Münze: (m, z) mit m = g1 g2s s zufällig vom Kunden gewählt und z = mx . Unterschrift durch Bank BlindLogEqSigh . Bank sieht m = m1/s g −t/s (hier t = 0). Kunde kann beweisen: ProofLogh (M, m/g1 , g2 ), d.h. kennt s x s. s wird verschlüsselt: d = yTs = g2 T . Rückverfolgung durch m = g1 g2s = g1 d 1/xT . Rückverfolgung durch m = m1/s ..

(49) Einleitung. Motivation. Grundlagen. Münze von der Bank abheben. Sicherheit. Protokolle. Aufbau. (8:47). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Münze von der Bank abheben. (m, z): m = g1 g2s und z = mx x s d = yTs = g2 T m = m1/s Kunde: g, g1 , g2 , p, q, xC , yC , y , yT. Bank: g, g1 , g2 , p, q, x , y , yC , yT. s ∈ {0, . . . , q − 1} m = g1 g2s d = yT s 1/s m = m1/s = g1 g2 ?. c = h((m/g2 )b g1c ) ?. c = h(yTb d c ) Speichere d. Z. Sicherheitsaspekte. (c, b) = ProofLogEqh (m/g2 , g1 , yT , d) d.h. logm/g (g1 ) = logy (d) = s. c, b, m/g2. 2. g1 , d, yT. T. r ∈ {0, . . . , q − 1} c# = g r Nummer der Münze (z, c1 , b1 ) = BlindLogSigEqh (c# , g, y , m) 1/s. s von oben t = 0, d.h. m = m1/s = g1. g2 wird genutzt. Bank hat c# unterschrieben. i.

(50) Einleitung. Motivation. Grundlagen. Münze von der Bank abheben. Sicherheit. Protokolle. Aufbau. (8:48). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Münze von der Bank abheben. (m, z): m = g1 g2s und z = mx x s d = yTs = g2 T m = m1/s Kunde: g, g1 , g2 , p, q, xC , yC , y , yT. Bank: g, g1 , g2 , p, q, x , y , yC , yT. s ∈ {0, . . . , q − 1} 1/s. ?. c = h((m/g2 )b g1c ) ?. h(yTb d c ). c = r ∈ {0, . . . , q − 1} zuf. z := mx. a := (a1 , a2 ) := (g r , mr ). b := r − cx. Z. Sicherheitsaspekte. c, b, m/g2 , g1 , d, yT m. a, z. m = g1 g2s , d = yT s , m = m1/s = g1 g2 (c, b) = ProofLogEqh (m/g2 , g1 , yT , d) d.h. logm/g (g1 ) = logy (d) = s 2. T. r ∈ {0, . . . , q − 1} c# = g r. u, v , w ∈ {0, . . . , q − 1}, v 6= 0 zuf. a1 := au1 g v y w , a2 := (au2 mv z w )s. c b. z := z s , c1 := h(c# ◦ m ◦ z ◦ a1 ◦ a2 ) c := (c1 − w )u −1 ?. teste: a1 ≡ g b y c ? a 2 ≡ mb z c d.h. logg (y ) = logm (z) = log 1/s (mx /s ) m b1 := ub + v , Ergebnis: (z, c1 , b1 ). i.

(51) Einleitung. Motivation. Grundlagen. Münze von der Bank abheben. Sicherheit. Protokolle. Aufbau. (8:49). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Eigenschaften. i. x s (m, z): m = g1 g2s und z = mx und d = yTs = g2 T und m = m1/s. logm/g (g1 ) = logy (d) = s und logg (y ) = logm (z) = log 1/s (mx /s ) mit SigBank (c# ) T Bank: g, g1 , g2 , p, q, x , y , yC , yT 2 Kunde: g, g1 , g2 , p, q, xCm, yC , y , yT s ∈ {0, . . . , q − 1} 1/s. ?. c = h((m/g2 )b g1c ). c, b, m/g2 , g1 , d, yT. ?. c = h(yTb d c ) r ∈ {0, . . . , q − 1} zuf. z := mx. a := (a1 , a2 ) := (g r , mr ). b := r − cx. m. a, z. c b. m = g1 g2s , d = yT s , m = m1/s = g1 g2 (c, b) = ProofLogEqh (m/g2 , g1 , yT , d) d.h. logm/g (g1 ) = logy (d) = s 2. T. r ∈ {0, . . . , q − 1} c# = g r. u, v , w ∈ {0, . . . , q − 1}, v 6= 0 zuf. a1 := au1 g v y w , a2 := (au2 mv z w )s. z := z s , c1 := h(c# ◦ m ◦ z ◦ a1 ◦ a2 ) c := (c1 − w )u −1 ? teste: a1 ≡ g b y c ?. a 2 ≡ mb z c d.h. logg (y ) = logm (z) = log 1/s (mx /s ) m b1 := ub + v , Ergebnis: (z, c1 , b1 ). logm/g2 (g1 ) = logyT (d) = s logg (y ) = logm (z) = logm1/s (mx /s ) Bank hat c# unterschrieben..

(52) Einleitung. Motivation. Bezahlung im Geschäft. Grundlagen. Sicherheit. Protokolle. (8:50). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Bezahlung im Geschäft x s. i. (m, z): m = g1 g2s und z = mx und d = yTs = g2 T und m = m1/s logm/g (g1 ) = logy (d) = s T 2 logg (y ) = logm (z) = log 1/s (mx /s ) mit SigBank (c# ) m. Laden: g, g1 , g2 , p, q, xS , yS , y , yC. Kunde: g, g1 , g2 , p, q, xC , yC , y M = yS ◦ time ◦ (c1 , b1 ) (c2 , b2 ) = ProofLogh (M, m/g1 , g2 ). teste M ?. c2 = h(M, c# ) ?. (z, c1 , b1 ) = BlindLogSigEqh (c# , g, y , m) ?. (c2 , b2 ) = ProofLogh (M, m/g1 , g2 ) ?. c. d.h. c2 = h(M ◦ (m/g1 )b2 ◦ g2 2 ). C1 = (c1 , b1 , c# , g, y , m, z) C2 = (c2 , b2 , M, g2 , m/g1 ). mit: c# = g r für a mit Geheimnis s = logg (m/g1 ) 2.

(53) Einleitung. Motivation. Bezahlung im Geschäft. Grundlagen. Sicherheit. Protokolle. (8:51). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Bezahlung im Geschäft x s. i. (m, z): m = g1 g2s und z = mx und d = yTs = g2 T und m = m1/s logm/g (g1 ) = logy (d) = s T 2 σ(m) = (c, b) = ProofLogh (m, g, y ) logg (y ) = logm (z) = log 1/s (mx /s ) mit SigBank (c# ) m P: x , y , g, p, q, h V : y , g, p, q, h r ∈ {0, . . . , q − 1} zufällig a := g r c := h(m ◦ a) b := r − cx. (c, b), m. Laden: g, g1 , g2 , p, q, xS , yS , y , yC. ?. Teste: c = h(m ◦ g b y c ) Kunde: g, g1 , g2 , p, q, xC , yC , y. M = yS ◦ time ◦ (c1 , b1 ) (c2 , b2 ) = ProofLogh (M, m/g1 , g2 ) mit: c# = g r für a C1 = (c1 , b1 , c# , g, y , m, z) mit Geheimnis s = logg (m/g1 ) teste M 2 C2 = (c2 , b2 , M, g2 , m/g1 ) ? c2 = h(M, c# ) ? (z, c1 , b1 ) = BlindLogSigEqh (c# , g, y , m) ? (c2 , b2 ) = ProofLogh (M, m/g1 , g2 ) ? c d.h. c2 = h(M ◦ (m/g1 )b2 ◦ g2 2 ).

(54) Einleitung. Motivation. Bezahlung im Geschäft. Grundlagen. Sicherheit. Protokolle. Aufbau. (8:52). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Bezahlung im Geschäft x s. (m, z): m = g1 g2s und z = mx und d = yTs = g2 T σ(m) = (c, b) = ProofLogh (m, g, y ) P: x , y , g, p, q, h V : y , g, p, q, h r ∈ {0, . . . , q − 1} zufällig a := g r c := h(m ◦ a) b := r − cx. (c, b), m. Laden: g, g1 , g2 , p, q, xS , yS , y , yC. und m = m1/s. Z. Sicherheitsaspekte i. logm/g (g1 ) = logy (d) = s T 2. logg (y ) = logm (z) = log 1/s (mx /s ) mit c# m s = logg (m/g1 ) mit c# 2. ?. Teste: c = h(m ◦ g b y c ) Kunde: g, g1 , g2 , p, q, xC , yC , y. M = yS ◦ time ◦ (c1 , b1 ) (c2 , b2 ) = ProofLogh (M, m/g1 , g2 ) mit: c# = g r für a C1 = (c1 , b1 , c# , g, y , m, z) mit Geheimnis s = logg (m/g1 ) teste M 2 C2 = (c2 , b2 , M, g2 , m/g1 ) ? c2 = h(M, c# ) ? (z, c1 , b1 ) = BlindLogSigEqh (c# , g, y , m) ? (c2 , b2 ) = ProofLogh (M, m/g1 , g2 ) ? c d.h. c2 = h(M ◦ (m/g1 )b2 ◦ g2 2 ).

(55) Einleitung. Motivation. Bezahlung im Geschäft. Grundlagen. Sicherheit. Protokolle. (8:53). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Geldfluss x s (m, z): m = g1 g2s und z = mx und d = yTs = g2 T und m = m1/s. Bank: g, g1 , g2 , p, q, x , y , yC , yT. ?. c = h((m/g2 )b g1c ) ? c = h(yTb d c ) r ∈ {0, . . . , q − 1} zuf. z := mx a := (a1 , a2 ) := (g r , mr ). i. logm/g (g1 ) = logy (d) = s 2. T. logg (y ) = logm (z) = log 1/s (mx /s ) mit c# und s = logg (m/g1 ) mit c# 2 Kunde:mg, g1 , g2 , p, q, xC , yC , y , yT s ∈ {0, . . . , q − 1} 1/s m = g1 g2s , d = yT s , m = m1/s = g1 g2 c, b, m/g2 , g1 , d, yT (c, b) = ProofLogEqh (m/g2 , g1 , yT , d) d.h. logm/g (g1 ) = logy (d) = s T 2 m r ∈ {0, . . . , q − 1} c# = g r. b := r − cx. Laden: g, g1 , g2 , p, q, xS , yS , y , yC. a, z. c b. u, v , w ∈ {0, . . . , q − 1}, v 6= 0 zuf. a1 := au1 g v y w , a2 := (au2 mv z w )s z := z s , c1 := h(c# ◦ m ◦ z ◦ a1 ◦ a2 ) c := (c1 − w )u −1 ?. b c teste: ? a1 ≡ g y a 2 ≡ mb z c d.h. logg (y ) = logm (z) = log 1/s (mx /s ) m b1 := ub + v , Ergebnis: (z, c1 , b1 ). Kunde: g, g1 , g2 , p, q, xC , yC , y M = yS ◦ time ◦ (c1 , b1 ) (c2 , b2 ) = ProofLogh (M, m/g1 , g2 ) r C1 = (c1 , b1 , c# , g, y , m, z) mit: c# = g für a mit Geheimnis s = logg (m/g1 ) teste M 2 ? C2 = (c2 , b2 , M, g2 , m/g1 ) c2 = h(M, c# ) ? (z, c1 , b1 ) = BlindLogSigEqh (c# , g, y , m) ? (c2 , b2 ) =? ProofLogh (M, m/g1 , g2 ) c d.h. c2 = h(M ◦ (m/g1 )b2 ◦ g2 2 ).

(56) Einleitung. Motivation. Einzahlung bei der Bank. Grundlagen. Sicherheit. Protokolle. (8:54). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Einzahlung bei der Bank x s (m, z): m = g1 g2s und z = mx und d = yTs = g2 T und m = m1/s. i. logm/g (g1 ) = logy (d) = s 2. T. logg (y ) = logm (z) = log 1/s (mx /s ) mit c# und s = logg (m/g1 ) mit c# 2 m Laden: g, g1 , g2 , p, q, xS , yS , y , yC. Kunde: g, g1 , g2 , p, q, xC , yC , y. M = yS ◦ time ◦ (c1 , b1 ) (c2 , b2 ) = ProofLogh (M, m/g1 , g2 ) mit: c# = g r für a C1 = (c1 , b1 , c# , g, y , m, z) mit Geheimnis s = logg (m/g1 ) teste M 2 C2 = (c2 , b2 , M, g2 , m/g1 ) ? c2 = h(M, c# ) ? (z, c1 , b1 ) = BlindLogSigEqh (c# , g, y , m) ? (c2 , b2 ) = ProofLogh (M, m/g1 , g2 ) ? c d.h. c2 = h(M ◦ (m/g1 )b2 ◦ g2 2 ). Es werden einfach die Transscipte der Bank übergeben. D.h. Bank bekommt C1 , C2 . Falls C1 , C2 vorhanden, so hat das Geschäft verdoppelt. Falls nur C1 vorhanden, so hat der Kunde verdoppelt..

(57) Einleitung. Motivation. Einzahlung bei der Bank. Grundlagen. Sicherheit. Protokolle. (8:55). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Einzahlung bei der Bank x s (m, z): m = g1 g2s und z = mx und d = yTs = g2 T und m = m1/s. i. logm/g (g1 ) = logy (d) = s 2. T. logg (y ) = logm (z) = log 1/s (mx /s ) mit c# und s = logg (m/g1 ) mit c# 2 m Laden: g, g1 , g2 , p, q, xS , yS , y , yC. Kunde: g, g1 , g2 , p, q, xC , yC , y. M = yS ◦ time ◦ (c1 , b1 ) (c2 , b2 ) = ProofLogh (M, m/g1 , g2 ) mit: c# = g r für a C1 = (c1 , b1 , c# , g, y , m, z) mit Geheimnis s = logg (m/g1 ) teste M 2 C2 = (c2 , b2 , M, g2 , m/g1 ) ? c2 = h(M, c# ) ? (z, c1 , b1 ) = BlindLogSigEqh (c# , g, y , m) ? (c2 , b2 ) = ProofLogh (M, m/g1 , g2 ) ? c d.h. c2 = h(M ◦ (m/g1 )b2 ◦ g2 2 ) Laden: g, g1 , g2 , xS , yS , y , yC , p, q. C1 , C2. Bank: g, g1 , g2 , x , y , yC , p, q Falls C1 , C2 vorhanden, hat Geschäft verdoppelt; Falls nur C1 vorhanden, hat Kunde verdoppelt..

(58) Einleitung. Motivation. Rückverfolgung. Grundlagen. Sicherheit. Protokolle. (8:56). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Zahlungsrückverfolgung einer Münze x s (m, z): m = g1 g2s und z = mx und d = yTs = g2 T und m = m1/s. logm/g (g1 ) = logy (d) = s T. 2. logg (y ) = logm (z) = log 1/s (mx /s ) mit c# und s = logg (m/g1 ) mit c# m Kunde: g, g1 , g2 , p, q, xC , yC , y , yT 2. Bank: g, g1 , g2 , p, q, x , y , yC , yT. s ∈ {0, . . . , q − 1} 1/s. ?. c = h((m/g2 )b g1c ) ? c = h(yTb d c ) r ∈ {0, . . . , q − 1} zuf.. c, b, m/g2 , g1 , d, yT. c b. Suche m in Transaktionen. d m. T. r ∈ {0, . . . , q − 1} c# = g r. a, z. b := r − cx. m = g1 g2s , d = yT s , m = m1/s = g1 g2 (c, b) = ProofLogEqh (m/g2 , g1 , yT , d) d.h. logm/g (g1 ) = logy (d) = s 2. m. z := mx a := (a1 , a2 ) := (g r , mr ). Bank: g, g1 , g2 , x , y , yC , p, q. i. u, v , w ∈ {0, . . . , q − 1}, v 6= 0 zuf. a1 := au1 g v y w , a2 := (au2 mv z w )s z := z s , c1 := h(c# ◦ m ◦ z ◦ a1 ◦ a2 ) c := (c1 − w )u −1 ?. teste: a1 ≡ g b y c ? a 2 ≡ mb z c d.h. logg (y ) = logm (z) = log 1/s (mx /s ) m b1 := ub + v , Ergebnis: (z, c1 , b1 ) Staat: g, g1 , g2 , xT , yT , yC , y , p, q g1 d 1/xT = g1 g2s = m.

(59) Einleitung. Motivation. Rückverfolgung. Grundlagen. Sicherheit. Protokolle. (8:57). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Zahlungsrückverfolgung einer Münze x s (m, z): m = g1 g2s und z = mx und d = yTs = g2 T und m = m1/s. logm/g (g1 ) = logy (d) = s T. 2. logg (y ) = logm (z) = log 1/s (mx /s ) mit c# und s = logg (m/g1 ) mit c# m Kunde: g, g1 , g2 , p, q, xC , yC , y , yT 2. Bank: g, g1 , g2 , p, q, x , y , yC , yT. s ∈ {0, . . . , q − 1} 1/s. c, b, m/g2 , g1 , d, yT. ?. c = h((m/g2 )b g1c ) ? c = h(yTb d c ) r ∈ {0, . . . , q − 1} zuf.. m. z := mx a := (a1 , a2 ) := (g r , mr ). a, z. c b. b := r − cx. Bank: g, g1 , g2 , x , y , yC , p, q. m = g1 g2s , d = yT s , m = m1/s = g1 g2 (c, b) = ProofLogEqh (m/g2 , g1 , yT , d) d.h. logm/g (g1 ) = logy (d) = s 2. d. T. r ∈ {0, . . . , q − 1} c# = g r. u, v , w ∈ {0, . . . , q − 1}, v 6= 0 zuf. a1 := au1 g v y w , a2 := (au2 mv z w )s z := z s , c1 := h(c# ◦ m ◦ z ◦ a1 ◦ a2 ) c := (c1 − w )u −1 ?. teste: a1 ≡ g b y c ? a 2 ≡ mb z c d.h. logg (y ) = logm (z) = log 1/s (mx /s ) m b1 := ub + v , Ergebnis: (z, c1 , b1 ). Staat: g, g1 , g2 , xT , yT , yC , y , p, q m. Suche d in Transaktionen. i. (m/g1 )xT = (g2s )xT = yTs = d.

(60) Einleitung. Motivation. Grundlagen. Sicherheit. Sicherheitsaspekte und zugrundeliegende Probleme. Protokolle (8:58). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Münzverdopplung x s (m, z): m = g1 g2s und z = mx und d = yTs = g2 T und m = m1/s. i. logm/g (g1 ) = logy (d) = s 2. T. logg (y ) = logm (z) = log 1/s (mx /s ) mit c# und s = logg (m/g1 ) mit c# 2 m Laden: g, g1 , g2 , p, q, xS , yS , y , yC. Kunde: g, g1 , g2 , p, q, xC , yC , y. M = yS ◦ time ◦ (c1 , b1 ) (c2 , b2 ) = ProofLogh (M, m/g1 , g2 ) mit: c# = g r für a C1 = (c1 , b1 , c# , g, y , m, z) mit Geheimnis s = logg (m/g1 ) teste M 2 C2 = (c2 , b2 , M, g2 , m/g1 ) ? c2 = h(M, c# ) ? (z, c1 , b1 ) = BlindLogSigEqh (c# , g, y , m) ? (c2 , b2 ) = ProofLogh (M, m/g1 , g2 ) ? c d.h. c2 = h(M ◦ (m/g1 )b2 ◦ g2 2 ). Falls der Kunde verdoppelt, unterschreibt er zweimal #c. Damit gibt er s preis. Damit kann die Bank m = m1/s bestimmen. Damit ist der Kunde erkannt..

(61) Einleitung. Motivation. Grundlagen. Sicherheit. Sicherheitsaspekte und zugrundeliegende Probleme. Protokolle (8:59). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Münzverdopplung x s (m, z): m = g1 g2s und z = mx und d = yTs = g2 T und m = m1/s. i. logm/g (g1 ) = logy (d) = s 2. T. logg (y ) = logm (z) = log 1/s (mx /s ) mit c# und s = logg (m/g1 ) mit c# 2 m Laden: g, g1 , g2 , p, q, xS , yS , y , yC. Kunde: g, g1 , g2 , p, q, xC , yC , y. M = yS ◦ time ◦ (c1 , b1 ) (c2 , b2 ) = ProofLogh (M, m/g1 , g2 ) mit: c# = g r für a C1 = (c1 , b1 , c# , g, y , m, z) mit Geheimnis s = logg (m/g1 ) teste M 2 C2 = (c2 , b2 , M, g2 , m/g1 ) ? c2 = h(M, c# ) ? (z, c1 , b1 ) = BlindLogSigEqh (c# , g, y , m) ? (c2 , b2 ) = ProofLogh (M, m/g1 , g2 ) ? c d.h. c2 = h(M ◦ (m/g1 )b2 ◦ g2 2 ). Falls der Laden verdoppelt, ist die verdoppelte Münze identisch. Damit wird sie von der Bank abgelehnt..

(62) Einleitung. Motivation. Grundlagen. Sicherheit. Sicherheitsaspekte und zugrundeliegende Probleme. Protokolle (8:60). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Sicherheit des Kunden x s (m, z): m = g1 g2s und z = mx und d = yTs = g2 T und m = m1/s. BlindLogEqSigh ist. Z. Sicherheitsaspekte s. logm/g (g1 ) = logy (d) = s 2. T. log (y ) = logm (z) = log 1/s (mx /s ) mit c# und s = logg (m/g1 ) mit c# 2 m sicher. g. ProofLogEq ist sicher mit ehrlichen Verifizierer. Falls die Bank bestimmen könnte ?. logg2 (m/g1 ) = logm/g2 (g1 ), dann könnte sie Auszahlung und Einzahlung erkennen. Das ist aber so schwer wie das Diffie-Hellman Entscheidungsproblem..

(63) Einleitung. Motivation. Grundlagen. Sicherheit. Sicherheitsaspekte und zugrundeliegende Probleme. Protokolle (8:61). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Sicherheit der Staats x s (m, z): m = g1 g2s und z = mx und d = yTs = g2 T und m = m1/s. Der Kunde muss m = Der Kunde muss m =. s. logm/g (g1 ) = logy (d) = s 2. T. log (y ) = logm (z) = log 1/s (mx /s ) mit c# und s = logg (m/g1 ) mit c# 2 m g1 g2s grichtig bestimmt haben. 1/s 1/s m = g1 g2 richtig bestimmt haben.. Der Kunde muss d = yTs richtig bestimmt haben. Im Protokoll beweist der Kunde: 1/s. m = g1 g2 d = yTs m = g1 g2s̃ Im Protokoll BlindLogEqSigh kann m nur mit Zufallswerten σ und τ wie folgt bestimmt werden: m = mσ g τ . Damit gilt (siehe Darstellungsproblem): s̃ = s und m = ms : 1/s. σ/s. g1 g2s̃ = m = mσ g τ = (g1 g2 )σ g τ = g1 mit: τ = 0 und σ = s̃ = s.. g2σ g τ.

(64) Einleitung. Motivation. Grundlagen. Sicherheit. Sicherheitsaspekte und zugrundeliegende Probleme. Protokolle (8:62). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Darstellungsproblem Definition Seien p, q Primzahlen mit q teilt p − 1 und G Untergruppe der Ordnung q. Seien weiter r > 2 und g1 , g2 , . . . , gr Generatoren in G. Dann nennen wir g = (g1 , g2 , . . . , gr ) Generator der Länge r . Sei y ∈ G, a = (a1 , a2 , Q . . . , ar ) ist eine Darstellung von y bezüglich g r genau dann wenn y = i=1 giai . Beachte a1 , a2 , . . . , ar −1 sind frei wählbar. Damit hat jedes y ∈ G q r −1 Darstellungen.. Somit ist die Wahrscheinlichkeit, dass a ∈ {0, . . . , q − 1}r Darstellung ist, 1/q.. s.

(65) Einleitung. Motivation. Grundlagen. Sicherheit. Sicherheitsaspekte und zugrundeliegende Probleme. Protokolle (8:63). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Aussage Lemma Falls ein diskreter Logarithmus nicht effizient berechenbar ist, dann gibt es keinen effizienten Algorithmus, der zu einem zufällig gewählten g und y ∈ G zwei verschiedene Darstellungen liefert. 1. Annahme: Es gibt einen Algorithmus A0 , der zu g 0 = (g1 , g2 , . . . , gr ) und y zwei Darstellungen a = (a1 , a2 , . . . , ar ) und b = (b1 , b2 , . . . , br ) bestimmt.. 2. Dann ist a − b eine Darstellung der 1.. 3. Damit haben wir einen Algorithmus, der eine nicht triviale Darstellung der 1 liefert. Diesen nennen wir Algorithmus A.. 4. Damit wird nun ein Algorithmus B konstruiert, der zu einem g ∈ G mit g 6= 1 und z ∈ G den diskreten Logarithmus von z bezüglich g bestimmt.. 5. D.h. x bestimmt mit g x = z.. s.

(66) Einleitung. Motivation. Grundlagen. Sicherheit. Sicherheitsaspekte und zugrundeliegende Probleme. Protokolle. Aufbau. (8:64). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Beweis int B(int g,z) repeat wähle i ∈ {1, . . . , r } uj ∈ {1, . . . , q − 1}, 1 6 j 6 r zufällig gi := z ui gj := g uj , 1 6 j 6 r , i 6= j (a1 , a2 , . . . , ar ) = A(g1 , g2 , . . . , gr ) until ai ui 6≡ 0 P return −(ai ui ) i6=j aj uj mod q. Z. Sicherheitsaspekte. WS2012/13. s.

(67) Einleitung. Motivation. Grundlagen. Sicherheit. Protokolle. Sicherheitsaspekte und zugrundeliegende Probleme. Aufbau. (8:65). On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. WS2012/13. Beweis. Z. Sicherheitsaspekte. int B(int g,z) repeat wähle i ∈ {1, . . . , r } uj ∈ {1, . . . , q − 1}, 1 6 j 6 r zufällig gi := z ui gj := g uj , 1 6 j 6 r , i 6= j (a1 , a2 , . . . , ar ) = A(g1 , g2 , . . . , gr ) until ai ui 6≡ 0 P return −(ai ui ) i6=j aj uj mod q 1. Damit gilt z ai ui = z.. 2. Die Wahrscheinlichkeit, dass ein Schleifendurchlauf erfolgreich endet (d.h. ai 6= 0), ist 1/r .. 3. Damit terminiert die Schleife mit hoher Wahrscheinlichkeit nach r Durchläufen.. 4. Damit ist die erwartete Laufzeit |p|.. Q i6=j. g aj uj und B liefert den diskreten Logarithmus von. s.

(68) Einleitung. Motivation. Grundlagen. Sicherheit. Sicherheitsaspekte und zugrundeliegende Probleme. Protokolle (8:66). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Diffie-Hellman Entscheidungsproblem Definition 1. Seien p, q Primzahlen mit q teilt p − 1 und G Untergruppe der Ordnung q.. 2. Sei weiter g ∈ G und a, b ∈ {0, . . . , q − 1} zufällig.. 3. Es wird als schwer angesehen: Bestimme g ab aus g a und g b .. 4. Das Diffie-Hellman Entscheidungsproblem ist dann: Gegeben: g1 = g a , g2 = g b und g3 Frage: Gilt g3 = g ab ?. 5. D.h. gilt logg (g3 ) = logg (g1 ) · logg (g2 ) bzw. logg2 (g3 ) = logg (g1 ).. n.

(69) Einleitung. Motivation. Grundlagen. Sicherheit. Sicherheitsaspekte und zugrundeliegende Probleme. Protokolle (8:67). Aufbau. On-Line System. Off-Line System. <> Walter Unger 13.12.2012 9:59. Z. Sicherheitsaspekte. WS2012/13. Fragen Wie ist die Idee beim On-Line elektronischen Geld? Was sind die Sicherheitsaspekte beim On-Line elektronischen Geld? Wie ist die Idee beim Off-Line elektronischen Geld? Was sind die Sicherheitsaspekte beim Off-Line elektronischen Geld?. x.

(70) Einleitung. Motivation. Grundlagen. Sicherheit. Sicherheitsaspekte und zugrundeliegende Probleme. Protokolle (8:68). Aufbau. On-Line System. <> Walter Unger 13.12.2012 9:59. Legende n Nicht relevant g Grundlagen, die implizit genutzt werden i Idee des Beweises oder des Vorgehens s Struktur des Beweises oder des Vorgehens w Vollständiges Wissen. Off-Line System. Z. Sicherheitsaspekte. WS2012/13. x.

(71)