Cryptography Reference
In-Depth Information
Aussagen zur Güte dieser Reduktion gelten analog zum Hash-then-MAC-Ansatz (siehe
Bemerkung nach Satz 9.4.1 sowie Aufgabe 9.8.9).
Es bleibt die Frage, wie ein sicheres Signierschema für Nachrichten fester (oder belie-
biger) Länge aussieht. Ein solches Schema auf Basis von weithin akzeptierten und plau-
siblen kryptographischen Annahmen zu konstruieren, ist durchaus anspruchsvoll und es
existieren nur sehr wenige solcher Konstruktionen, die in die Nähe praktikabler Anwen-
dungen kommen. Viele dieser Schemen sind zustandsbasiert oder machen relativ starke,
dennoch plausible Annahmen, die über das hinausgehen, was wir in diesem einführenden
Buch zur Kryptographie behandeln. Deshalb wollen wir darauf hier nicht näher eingehen
(siehe allerdings Abschnitt 10.8 für weitere Hinweise und Bemerkungen). Stattdessen dis-
kutieren wir im nächsten Abschnitt ein sehr praktikables Verfahren, das im Prinzip auch
auf dem Hash-then-Sign-Ansatz basiert, für seine Sicherheit allerdings eine idealisierte
Hashfunktion voraussetzt.
10.4
Signieren mit RSA und dem Zufallsorakel
Wie im vorherigen Abschnitt angedeutet, lernen wir nun ein praktikables Hash-then-
Sign-Schema kennen. Dabei werden wir RSA als Basis-Signierschema verwenden. Dies
ist zunächst überraschend, da wir in Abschnitt 10.2 gesehen haben, dass RSA selbst kein
sicheres Signierschema darstellt. Diesen Mangel werden wir dadurch ausgleichen, dass
wir idealisierte Hashfunktionen betrachten: Wir werden Hashfunktionen als sogenannte
Zufallsorakel (
Random Oracle
) modellieren. Insgesamt werden wir das sogenannte FDH-
RSA-Signierschema erhalten, wobei
FDH
für
Full Domain Hash
steht. Diese Terminolo-
gie werden wir später erläutern. Zunächst führen wir den Begriff des Zufallsorakels ein
und diskutieren diesen kurz.
10.4.1
Das Zufallsorakel
Ein Zufallsorakel modelliert eine ideale Hashfunktion - die beste Hashfunktion, die man
sich wünschen kann. Um zu definieren, was ein Zufallsorakel genau ist, bezeichnen wir
im Folgenden mit
D
und
B
den Definitions- bzw. Bildbereich der idealen Hashfunktion,
wobei wir
B
als endlich annehmen.
Ein
Zufallsorakel
kannmansichnunalseineArtServer(oderebenauchalseinOrakel)
vorstellen, an den man Nachrichten schickt und von dem man jeweils den zugehörigen
Hashwert als Antwort zurückbekommt. Der Server realisiert also eine Hashfunktion, die,
wie wir sehen werden, ideal ist. Da jeder diese Hashfunktion auswerten können sollte,
sollte auch jeder Zugriff auf den Server haben. Dieser Zugriff sollte dabei unbemerkt
geschehen können, da man eine Hashfunktion lokal/privat auswerten kann, d. h., ohne
dass dies jemand bemerkt. Insbesondere sollte für andere Parteien nicht ersichtlich sein,
welche Nachricht man an einen solchen Server schickt, also für welche Nachricht man sich
einen Hashwert berechnen lassen möchte.
Der Server arbeitet nun wie folgt: Er speichert eine Liste von Paaren der Form
(
x, h
)
ab, wobei
x ∈ D
eine Nachricht bezeichnet und
h ∈ B
den zugehörigen Hashwert; zu
