Cryptography Reference
In-Depth Information
Aufgabe
10.7.13 (selbstsignierte Zertifikate)
.
In Abschnitt 10.6.3 wurde erwähnt, dass
Zertifizierungsstellen und ihre öffentlichen Schlüssel in Web-Browsern in Form von selbst-
signierten Zertifikaten gespeichert sind. Diskutieren Sie den Sinn solcher Zertifikate.
10.8
Anmerkungen und Hinweise
Das Konzept der digitalen Signatur findet sich bereits in der bahnbrechenden Arbeit von
Die und Hellman [64], in der Einwegfunktionen mit Hintertür für die Umsetzung vorge-
schlagen wurden. Erste Realisierungen haben dann, in ebenfalls wegweisenden Arbeiten,
Rivest, Shamir und Adleman [140] sowie Rabin [136] gefunden.
Sicherheitsdefinitionen für digitale Signaturen wurden allerdings erst einige Jahre spä-
ter vorgeschlagen, die erste von Goldwasser, Micali und Yao [88] und dann eine stärkere
von Goldwasser, Micali und Rivest [87], die zusätzlich zur existentiellen Fälschung auch
den hier verwendeten Begriff der Angriffe mit Nachrichtenwahl einführt und präzise fasst.
Die letztere Arbeit gibt zudem einen guten Überblick über die frühen Signierverfahren
und deren (Un-)sicherheit. Wichtiger aber ist, dass sie selbst ein Signierschema vorstellt,
welches beweisbar sicher ist bzgl. der existentiellen Fälschung für Angriffe mit Nach-
richtenwahl und unter der Annahme, dass Faktorisieren schwer ist; womit die damals
verbreitete Meinung widerlegt wurde, dass ein solches Resultat nicht möglich sei. Die
Arbeit von Goldwasser, Micali und Rivest gab den Startschuss für zahlreiche weitere
Arbeiten, in denen beweisbar sichere Signierschemen bzgl. existentieller Fälschung und
Angriffen mit Nachrichtenwahl konstruiert wurden. Ein grundlegendes und überraschen-
des Ergebnis ist, dass diesbezüglich sichere Signierschemen genau dann existieren, wenn
Einwegfunktionen existieren. Man beachte, dass hier nicht von Einwegfunktionen mit
Hintertür die Rede ist. Dieses Ergebnis basiert auf verschiedenen Arbeiten, vor allem auf
[129, 143], und wird ausführlich im Lehrbuch von Goldreich [81] behandelt.
Es gibt verschiedene Ansätze, sichere Signierschemen zu konstruieren, darunter der so-
genannte baumbasierte Ansatz (
tree-based signature schemes
) sowie der in Abschnitt 10.3
kennengelernte Hash-then-Sign-Ansatz, der, wie in Abschnitt 9.9 erwähnt, zunächst von
Damgård [60] untersucht wurde. Die Sicherheit der zahlreichen in der Literatur vorge-
stellten Konstruktionen basiert wiederum auf unterschiedlichen Annahmen, welche von
generischen Annahmen wie der Existenz von Einwegfunktionen über weitläufig akzep-
tierten Annahmen aus der algorithmischen Zahlentheorie (Faktorisieren, RSA-Annahme,
diskreter Logarithmus) sowie stärkeren, weniger untersuchten Annahmen meist aus der
algorithmischen Zahlentheorie oder Annahmen basierend auf Gitterproblemen reichen
und teilweise Zufallsorakel voraussetzen (ROM). Ausführlichere Darstellungen von Kon-
struktionen und Annahmen für digitale Signaturen finden sich im Lehrbuch von Goldreich
[81] sowie in einem Buch von Katz [100], welches sich ausschließlich den digitalen Signa-
turen widmet. Die Konstruktion sicherer und gleichzeitig möglichst ezienter digitaler
Signaturen unter möglichst schwachen Annahmen ist ein lebhaftes Forschungsgebiet in
der Kryptographie, zu dem es zahlreiche aktuelle wissenschaftliche Artikel gibt (siehe
zum Beispiel [93] und Referenzen in dieser Arbeit).
Das in Abschnitt 10.4 kennengelernte FDH-RSA-Signierschema wurde von Bellare und
Rogaway [24] vorgeschlagen, zusammen mit dem Konzept der Zufallsorakel (siehe unten);
