Prof. C. P. Schnorr Sommersemester 2012
Kryptographie
Blatt 5, 11.05.2012, Abgabe 18.05.2012
Aufgabe 1. Die Schnorr Signaturen (c i , y i ) zur Nachricht m i seien nach Vorschrift mit r i ∈ Z ∗ q für i = 1, ..., t zum Schlüssel x, h = g x erzeugt. Zeige:
Kennt man zu (c i , y i , m i ) i = 1, . . . , t die Koezienten a 0 , ..., a t einer Glei- chung P t
i=1
a i r i = a 0 so erhält man x = log g h sofern P t
i=1 a i c i 6= 0 . Hinweis: g r
i= g y
ih −c
i.
Aufgabe 2. Ein Fälscher will DSA-Signaturen zur Nachricht Einzugser- mächtigung über 100 EURO zugunsten des XYZ-Service Providers für viele öentliche Schlüssel h fälschen. Hierzu benutzt er den vom NIST vorgeschla- genen SHA H , wählt geeignete Parameter G = hgi ⊂ Z ∗ p , q und fordert zu jedem h eine DSA-Signatur zu Testnachricht.
1. Wie wählt der Fälscher p, g, q ?
2. Wie gefährlich ist die Attacke ? Gibt es Schutzmaÿnahmen ? 3. Warum geht dieser Angri nicht für Schnorr Signaturen ? Hinweis: http://www.itl.nist.gov/pspubs/p186.htm
Serge Vaudenay: Hidden Collisions on DSS, Crypto 96, LNCS 1109 pp.83-88.
Aufgabe 3. (Zu Satz 3, Kap. 1.2) ( Aufgabe 3 von Blatt 4 korrigiert ) Gegeben G =< g >, |G| = 2 k + 1 prim, Z ∗ 2
k+1 =< c >, (| Z ∗ 2
k+1 | = 2 k ) . Wir lösen h = g x für h 6= g 0 wie folgt:
FOR i = 0, . . . , k − 2 DO g x
2i+1:= DH(g x
2i, g x
2i), c 2
i+1:= (c 2
i) 2 Berechne w 1 , ..., w k ∈ {0, 1} mit x = c w , w = P k
i=1 w i 2 i−1 : FOR i = 1, . . . , k − 1 DO
IF g (x
2k−i