Cryptography Reference
In-Depth Information
ein gültiges Nachrichten-Signatur-Paar. Insbesondere ist
(
x, s
)
dies auch im Lauf
α
.Da
der Hashwert
h
zu
x
als Argument
y
an
I
übergeben wurde, gilt, wie im Spezialfall, dass
in
α
die Ausgabe
s
von
I
das Urbild von
y
ist. Im Lauf
α
von
E
E
RSA
I
wird also das Bit
1
ausgegeben.
Man sieht leicht, dass die oben beschriebene Abbildung von Läufen
α
von
E
S
FDH-RSA
F
E
S
FDH-RSA
F
(
α
)=1
auf Läufe
α
von
E
E
RSA
I
mit
injektiv ist.
E
S
FDH-RSA
F
Ist
p
die Wahrscheinlichkeit dafür, dass in
der Lauf
α
auftritt, dann ist
1
p
die Wahrscheinlichkeit für das Auftreten von
α
in
E
E
RSA
I
;derFaktor
1
q−
1
q−
1
·
erklärt
E
E
RSA
I
E
S
FDH-RSA
F
sich durch die zufällige Wahl von
i
in Läufen von
, die in Läufen von
keine Entsprechung hat.
Aus den gezeigten Aussagen folgt nun sofort:
adv
Sig
(
F,
S
FDH-RSA
)
adv
Inversion
(
I,
E
RSA
)
≥
.
q
−
1
Diese Abschätzung gilt unter der oben formulierten Annahme (*). Erfüllt
F
diese nicht,
so können wir, wie bereits erläutert, zu einem
(
q
+1)
-beschränkten Fälscher
F
über-
gehen (mit nur geringfügig größerer Laufzeit), der die Annahme (*) erfüllt und für den
adv
Sig
(
F
,
S
FDH-RSA
)
gilt. Wird
I
wie oben auf Basis von
F
S
FDH-RSA
)=
adv
Sig
(
F,
konstruiert, dann folgt:
adv
Sig
(
F
,
S
FDH-RSA
)
q
=
adv
Sig
(
F,
S
FDH-RSA
)
q
adv
Inversion
(
I,
E
RSA
)
≥
,
was den Beweis von Satz 10.4.1 abschließt.
10.5
Signieren in der Praxis
Wir stellen nun zwei in der Praxis weitverbreitete Signierschemen vor und diskutieren
kurz deren Sicherheit.
10.5.1
PKCS#1
Wie bereits in Abschnitt 6.4.3 erwähnt, steht PKCS für
Public Key Cryptography Stan-
dards
und bezeichnet einen von den RSA Laboratories entwickelten Satz kryptographi-
scher Standards. In PKCS#1 v1.5 wird u. a. ein (verbreitetes) Hash-Signierschema defi-
niert, welches man als Instanziierung von FDH-RSA betrachten kann: Das Zufallsorakel
wird durch eine konkrete Hashfunktion ersetzt. Ausserdem wird der Hashwert aufgefüllt,
um auf die Länge des verwendeten RSA-Modul zu kommen. PKCS#1 v1.5 unterstützt
dabei verschiedene Hashfunktionen, einschließlich der Funktionen der SHA-Familie.
Genauer ist das PKCS#1-Signierschema (in der Version 1.5) wie folgt definiert, wobei
wir von einem RSA-Modul
n
der Länge 1024 Bits ausgehen und annehmen, dass SHA-256
als Hashfunktion verwendet wird: Zunächst wird zur gegebenen Nachricht
x
ein Hashwert