Cryptography Reference
In-Depth Information
Es sei zum Schluss der Diskussion zum Zufallsorakel noch Folgendes bemerkt: Für
den Fall, dass neben dem Bildbereich auch der Definitionsbereich des Zufallsorakels end-
lich ist, kann man ein Zufallsorakel als zufällige Funktion im Sinne von Abschnitt 4.8
auffassen - die in Abschnitt 4.8 erwähnte »partielle und dynamische Implementierung«
einer zufälligen Funktion entspricht genau dem obigen Server. Nun könnte man versucht
sein, aus der obigen Diskussion zur Realisierung von Zufallsorakeln abzuleiten, dass auch
Block-Kryptosysteme unrealistisch sind. Das wäre aber ein Trugschluss! In Kapitel 5
dienten zufällige Funktionen lediglich dazu, die Sicherheit von Block-Kryptosystemen
zu
definieren
: Ein Block-Kryptosystem ist dann sicher, wenn ein Angreifer eine zufällig
gewählte Chiffre dieses Block-Kryptosystems, zu der er den Schlüssel nicht kennt, nicht
(nur schwer) von einer zufälligen Funktion/Permutation unterscheiden kann (siehe Defi-
nition 4.7.2). Zwar gibt es keinen Beweis für die Existenz von in diesem Sinne sicheren
Block-Kryptosystemen, die zudem (einigermaßen) praktikabel sind, die Annahme, dass
derartige Block-Kryptosysteme existieren, erscheint aber plausibel; insbesondere da diese
Annahme auf akzeptierten, gut untersuchten mathematischen Annahmen - etwa der An-
nahme, dass Faktorisieren schwer ist oder der diskrete Logarithmus schwer zu berechnen
ist - abgestützt werden kann (siehe auch Abschnitt 4.10).
Im Vergleich zwischen Block-Kryptosystemen und Zufallsorakeln ist auch zu beachten,
dass ein Zufallsorakel eine
öffentliche
Funktion ist, die sich (trotzdem) wie eine zufäl-
lige Funktion verhalten soll. Dagegen verlangt man für Block-Kryptosysteme lediglich,
dass Chiffren für einen Angreifer, der die Schlüssel nicht kennt, wie zufällige Funktionen
aussehen sollten.
10.4.2
Das FDH-RSA-Schema
Das FDH-RSA-Signierschema kombiniert den Hash-then-Sign-Ansatz (Abschnitt 10.3)
mit dem RSA-Signierschema (Definition 10.2.1). Zu einer Nachricht wird also zunächst
ein Hashwert berechnet, der dann mit dem RSA-Signierschema signiert wird. Wie bereits
am Anfang von Abschnitt 10.4 erwähnt, gleichen wir den Mangel von RSA, selbst kein si-
cheres Signierschema zu sein, damit aus, dass wir statt einer gewöhnlichen Hashfunktion
ein Zufallsorakel verwenden. Genauer werden wir als Zufallsorakel H
:=
H
{
0
,
1
}
∗
Z
n
verwen-
den. Dieses Orakel akzeptiert jeden Bitvektor und bildet ihn auf ein (zufällig gewähltes)
Element aus
Z
n
ab, wobei
n
den Modul des aktuellen Schlüsselpaares bezeichnet. Die
Tatsache, dass der Bildbereich von H die Menge
Z
n
voll ausschöpft, motiviert die Ter-
minologie
Full Domain Hash (FDH)
. Genauer ist das FDH-RSA-Signierschema wie folgt
definiert:
Definition 10.4.1 (FDH-RSA-Signierschema). Es sei
l>
0
gerade. Das
l
-FDH-RSA-Si-
gnierschema
S
FDH-RSA
ist ein Tupel
(
X,K,G,T,V
)
mit
}
∗
,
-
X
=
{
0
,
1
-
K
=
,
-
G
erzeugt Schlüsselpaare gemäß dem RSA-Kryptoschema (vgl. Definition 6.4.2),
-
T
(
x,
(
n, d
)) = (
H
(
x
))
d
mod
n
für alle
x ∈ X
und
(
n, d
)
∈ K
priv
,
-
V
(
x, t,
(
n, e
))
gibt, bei Eingabe von
x
{
((
n, e
)
,
(
n, d
))
|
(
n, p, q, m, e, d
)
ist ein RSA-Tupel mit
|
p
|
2
=
|
q
|
2
=
l/
2
}
∈
X
,
t
∈
Z
n
und
(
n, e
)
∈
K
pub
,dasBit
1
aus,
wenn
t
e
mod
n
=
H
(
x
)
gilt, und das Bit
0
sonst.
