Aufgabe 1. Die Schnorr Signaturen (c i , y i ) zur Nachricht m i seien nach Vorschrift mit r i ∈ Z ∗ q für i = 1, ..., t zum Schlüssel x, h = g x erzeugt. Zeige:

(1)

Prof. C. P. Schnorr Sommersemester 2012

Kryptographie

Blatt 5, 11.05.2012, Abgabe 18.05.2012

Aufgabe 1. Die Schnorr Signaturen (c i , y i ) zur Nachricht m i seien nach Vorschrift mit r _i ∈ Z ^∗ q für i = 1, ..., t zum Schlüssel x, h = g ^x erzeugt. Zeige:

Kennt man zu (c i , y i , m i ) i = 1, . . . , t die Koezienten a 0 , ..., a t einer Glei- chung P ^t

i=1

a _i r _i = a ₀ so erhält man x = log _g h sofern P t

i=1 a _i c _i 6= 0 . Hinweis: g ^r

ⁱ

= g ^y

ⁱ

h ^−c

ⁱ

.

Aufgabe 2. Ein Fälscher will DSA-Signaturen zur Nachricht Einzugser- mächtigung über 100 EURO zugunsten des XYZ-Service Providers für viele öentliche Schlüssel h fälschen. Hierzu benutzt er den vom NIST vorgeschla- genen SHA H , wählt geeignete Parameter G = hgi ⊂ Z ^∗ p , q und fordert zu jedem h eine DSA-Signatur zu Testnachricht.

1. Wie wählt der Fälscher p, g, q ?

2. Wie gefährlich ist die Attacke ? Gibt es Schutzmaÿnahmen ? 3. Warum geht dieser Angri nicht für Schnorr Signaturen ? Hinweis: http://www.itl.nist.gov/pspubs/p186.htm

Serge Vaudenay: Hidden Collisions on DSS, Crypto 96, LNCS 1109 pp.83-88.

Aufgabe 3. (Zu Satz 3, Kap. 1.2) ( Aufgabe 3 von Blatt 4 korrigiert ) Gegeben G =< g >, |G| = 2 ^k + 1 prim, Z ^∗ ₂

^k

₊₁ =< c >, (| Z ^∗ ₂

^k

₊₁ | = 2 ^k ) . Wir lösen h = g ^x für h 6= g ⁰ wie folgt:

FOR i = 0, . . . , k − 2 DO g ^x

²ⁱ⁺¹

:= DH(g ^x

²ⁱ

, g ^x

²ⁱ

), c ²

ⁱ⁺¹

:= (c ²

ⁱ

) ² Berechne w ₁ , ..., w _k ∈ {0, 1} mit x = c ^w , w = P k

i=1 w _i 2 ⁱ⁻¹ : FOR i = 1, . . . , k − 1 DO

IF g ^(x

²

k−i

) = g THEN w _i := 0 ELSE w _i := 1 ,

IF w _i = 1 THEN g ^x := (g ^x ) ^1/c

²ⁱ⁻¹

(2)

Zeige: die Korrektheit des Algorithmus.

Wieviele DH-Aufrufe, Mult. in G , Mult./ Div. in Z ^∗ ₂

^k

₊₁ erfolgen im Alg. ? Hinweis x ∈ ( Z ^∗ ₂

^k

₊₁ ) ²

ⁱ

Aufgabe 1. Die Schnorr Signaturen (c i , y i ) zur Nachricht m i seien nach Vorschrift mit r i ∈ Z ∗ q für i = 1, ..., t zum Schlüssel x, h = g x erzeugt. Zeige:

Prof. C. P. Schnorr Sommersemester 2012

Kryptographie

Blatt 5, 11.05.2012, Abgabe 18.05.2012

Aufgabe 1. Die Schnorr Signaturen (c i , y i ) zur Nachricht m i seien nach Vorschrift mit r _i ∈ Z ^∗ q für i = 1, ..., t zum Schlüssel x, h = g ^x erzeugt. Zeige:

Kennt man zu (c i , y i , m i ) i = 1, . . . , t die Koezienten a 0 , ..., a t einer Glei- chung P ^t

i=1

a _i r _i = a ₀ so erhält man x = log _g h sofern P t

i=1 a _i c _i 6= 0 . Hinweis: g ^r

= g ^y

h ^−c

.

1. Wie wählt der Fälscher p, g, q ?

2. Wie gefährlich ist die Attacke ? Gibt es Schutzmaÿnahmen ? 3. Warum geht dieser Angri nicht für Schnorr Signaturen ? Hinweis: http://www.itl.nist.gov/pspubs/p186.htm

Serge Vaudenay: Hidden Collisions on DSS, Crypto 96, LNCS 1109 pp.83-88.

Aufgabe 3. (Zu Satz 3, Kap. 1.2) ( Aufgabe 3 von Blatt 4 korrigiert ) Gegeben G =< g >, |G| = 2 ^k + 1 prim, Z ^∗ ₂

₊₁ =< c >, (| Z ^∗ ₂

₊₁ | = 2 ^k ) . Wir lösen h = g ^x für h 6= g ⁰ wie folgt:

FOR i = 0, . . . , k − 2 DO g ^x

:= DH(g ^x

, g ^x

), c ²

:= (c ²

) ² Berechne w ₁ , ..., w _k ∈ {0, 1} mit x = c ^w , w = P k

i=1 w _i 2 ⁱ⁻¹ : FOR i = 1, . . . , k − 1 DO

IF g ^(x

) = g THEN w _i := 0 ELSE w _i := 1 ,

IF w _i = 1 THEN g ^x := (g ^x ) ^1/c

Zeige: die Korrektheit des Algorithmus.

Wieviele DH-Aufrufe, Mult. in G , Mult./ Div. in Z ^∗ ₂

₊₁ erfolgen im Alg. ? Hinweis x ∈ ( Z ^∗ ₂

₊₁ ) ²

gdw w _j = 0 für j = 1, ..., i gdw 2 ⁱ | w

Die letzte IF-Anweisung bewirkt w 7→ w − w _i 2 ⁱ⁻¹ .

5 Punkte pro Aufgabe.

Aufgabe 1. Die Schnorr Signaturen (c i , y i ) zur Nachricht m i seien nach Vorschrift mit r i ∈ Z ∗ q für i = 1, ..., t zum Schlüssel x, h = g x erzeugt. Zeige:

Prof. C. P. Schnorr Sommersemester 2012

Kryptographie

Blatt 5, 11.05.2012, Abgabe 18.05.2012

Aufgabe 1. Die Schnorr Signaturen (c i , y i ) zur Nachricht m i seien nach Vorschrift mit r i ∈ Z ∗ q für i = 1, ..., t zum Schlüssel x, h = g x erzeugt. Zeige:

Kennt man zu (c i , y i , m i ) i = 1, . . . , t die Koezienten a 0 , ..., a t einer Glei- chung P t

i=1

a i r i = a 0 so erhält man x = log g h sofern P t

i=1 a i c i 6= 0 . Hinweis: g r

= g y

h −c

.

1. Wie wählt der Fälscher p, g, q ?

2. Wie gefährlich ist die Attacke ? Gibt es Schutzmaÿnahmen ? 3. Warum geht dieser Angri nicht für Schnorr Signaturen ? Hinweis: http://www.itl.nist.gov/pspubs/p186.htm

Serge Vaudenay: Hidden Collisions on DSS, Crypto 96, LNCS 1109 pp.83-88.

Aufgabe 3. (Zu Satz 3, Kap. 1.2) ( Aufgabe 3 von Blatt 4 korrigiert ) Gegeben G =< g >, |G| = 2 k + 1 prim, Z ∗ 2

+1 =< c >, (| Z ∗ 2

+1 | = 2 k ) . Wir lösen h = g x für h 6= g 0 wie folgt:

FOR i = 0, . . . , k − 2 DO g x

:= DH(g x

, g x

), c 2

:= (c 2

) 2 Berechne w 1 , ..., w k ∈ {0, 1} mit x = c w , w = P k

i=1 w i 2 i−1 : FOR i = 1, . . . , k − 1 DO

IF g (x

) = g THEN w i := 0 ELSE w i := 1 ,

IF w i = 1 THEN g x := (g x ) 1/c

Zeige: die Korrektheit des Algorithmus.

Wieviele DH-Aufrufe, Mult. in G , Mult./ Div. in Z ∗ 2

+1 erfolgen im Alg. ? Hinweis x ∈ ( Z ∗ 2

+1 ) 2

gdw w j = 0 für j = 1, ..., i gdw 2 i | w

Die letzte IF-Anweisung bewirkt w 7→ w − w i 2 i−1 .

5 Punkte pro Aufgabe.

Aufgabe 1. Die Schnorr Signaturen (c i , y i ) zur Nachricht m i seien nach Vorschrift mit r _i ∈ Z ^∗ q für i = 1, ..., t zum Schlüssel x, h = g ^x erzeugt. Zeige:

Kennt man zu (c i , y i , m i ) i = 1, . . . , t die Koezienten a 0 , ..., a t einer Glei- chung P ^t

a _i r _i = a ₀ so erhält man x = log _g h sofern P t

i=1 a _i c _i 6= 0 . Hinweis: g ^r

= g ^y

h ^−c

Aufgabe 3. (Zu Satz 3, Kap. 1.2) ( Aufgabe 3 von Blatt 4 korrigiert ) Gegeben G =< g >, |G| = 2 ^k + 1 prim, Z ^∗ ₂

₊₁ =< c >, (| Z ^∗ ₂

₊₁ | = 2 ^k ) . Wir lösen h = g ^x für h 6= g ⁰ wie folgt:

FOR i = 0, . . . , k − 2 DO g ^x

:= DH(g ^x

, g ^x

), c ²

:= (c ²

) ² Berechne w ₁ , ..., w _k ∈ {0, 1} mit x = c ^w , w = P k

i=1 w _i 2 ⁱ⁻¹ : FOR i = 1, . . . , k − 1 DO

IF g ^(x

) = g THEN w _i := 0 ELSE w _i := 1 ,

IF w _i = 1 THEN g ^x := (g ^x ) ^1/c

Wieviele DH-Aufrufe, Mult. in G , Mult./ Div. in Z ^∗ ₂

₊₁ erfolgen im Alg. ? Hinweis x ∈ ( Z ^∗ ₂

₊₁ ) ²

gdw w _j = 0 für j = 1, ..., i gdw 2 ⁱ | w

Die letzte IF-Anweisung bewirkt w 7→ w − w _i 2 ⁱ⁻¹ .