Zum Inhalt springen

Beweisarchiv: Kryptografie: Kryptosysteme: Sicherheit des GMR-Signatursystems

Aus Wikibooks

Beweisarchiv: Kryptografie

Sicherheitsdefinitionen: Äquivalente Definitionen informationstheoretischer Sicherheit
Kryptosysteme: Korrektheit des RSA-Kryptosystems · Sicherheit des GMR-Signatursystems
Pseudozufall: Sicherheit des s²-mod-n-Generators


Sicherheit des GMR-Signatursystems

[Bearbeiten]

Einleitung

[Bearbeiten]

Das GMR-Signatursystem nutzt kollisionsfreie Falltür-Einwegpermutationen. Zur Erklärung siehe dazu Falltür-Einwegfunktionen (engl. trapdoor one-way function). Diese haben den Vorteil, dass sie sich nur mit Kenntnis eines Geheimnisses effizient umkehren lassen. Es wird also die Umkehrpermutation mit Kenntnis des Geheimnisses zum Signieren einer Nachricht verwendet und die Signatur dann ohne Kenntnis des Geheimnisses mit der Permutation überprüft.

Als Geheimnis verwendet man zwei große Primfaktoren von . Dabei ist öffentlich, da es zum Testen benötigt wird.

Behauptung

[Bearbeiten]

Es existiert eine kollisionsfreie Falltür-Einwegpermutation.

Dazu zeigen wir im Teil 1, dass die im Folgenden vorgeschlagene Permutation eine Falltür-Einwegpermutation ist. Im Teil 2 wird bewiesen, dass es mindestens so schwer ist, eine Kollision zu finden, wie zu faktorisieren. Das ist nützlich, da das Faktorisierungsproblem für eine beliebige ganze Zahl als nicht mit polynomialem Zeitaufwand lösbar gilt.

Falltür-Einwegpermutation

[Bearbeiten]

Sei

  ( ist das Jacobi-Symbol)

der Definitionsbereich für folgende Permutation:

Die beiden folgenden Permutationen dienen dem Signieren der Zeichen „1” und „0” an einer zufällig gewählten Referenz . Die Umkehrfunktionen benötigen Wurzelziehen in , was nur mit Kenntnis der beiden Primfaktoren effizient möglich ist. Siehe dazu: Wurzelziehen ist schwer

Weiterhin sei

.

Da wir dies im Beweis mehrfach verwenden, sei hier schon einmal darauf hingewiesen, dass damit gilt:

(-1 ist kein quadratischer Rest modulo )

Beweis, Teil 1

[Bearbeiten]

Wir zeigen nun, dass es sich bei tatsächlich um eine Permutation handelt, indem wir beweisen, dass folgende Implikation gilt:


Sei

Es ist da , aber und damit auch .

Wegen .


Jetzt folgt noch der Beweis für :

Sei

  und  

Beweis, Teil 2

[Bearbeiten]

Im zweiten Teil des Beweises zeigen wir, dass die gefundenen Permutationen kollisionsresistent sind. Dazu zeigen wir die Implikation „Kollisionen finden ist leicht” „Faktorisieren ist leicht.”

Angenommen, es existieren , , für die es eine Kollision gibt:

Es ist da , aber und damit auch .



 , aber  



Wegen und muss einen der beiden Primfaktoren enthalten. Damit ist

einer der beiden Primfaktoren von

Also gilt: „Kollisionen finden ist leicht.” „Faktorisieren ist leicht.”

Wikipedia-Verweise

[Bearbeiten]

 GMR (Signaturverfahren)
 Falltür-Einwegfunktion
 Faktorisierungsverfahren
 Polynomialzeit
 Quadratischer Rest
 Jacobi-Symbol


Beweisarchiv: Kryptografie

Sicherheitsdefinitionen: Äquivalente Definitionen informationstheoretischer Sicherheit
Kryptosysteme: Korrektheit des RSA-Kryptosystems · Sicherheit des GMR-Signatursystems
Pseudozufall: Sicherheit des s²-mod-n-Generators