Cryptography Reference
In-Depth Information
Zusammenfassend ist somit für eine Nachricht (m, , s) mit gültiger Signatur (4.5-17) erfüllt.
1
s
r
(h(m)
3
d
)
mit
3
xKomp(r G)
(mod p)
(4.5-17)
A
Man beachte, dass A für die digitale Signatur ihren privaten Schlüssel d A benutzt. Mit
„xKomp“ in (4.5-17) wird, wie bereits genannt, die x-Komponente eines Punktes auf der ellip-
tischen Kurve bezeichnet.
Verifikation einer Nachricht
Die Verifikation funktioniert wie folgt:
Der Verifizierer berechnet den Hashwert h(m) der Nachricht aus m.
Er berechnet den Punkt (x 1 , y 1 ) = h(m)·s -1 ·G +
·s -1 ·e A . Alle Komponenten darin sind Teil
3
der empfangenen Nachricht (m, s,
38
oder vorher bereits bekannt (h( ), G, e A ).
(mod p), dann wird die Signatur als gültig akzeptiert.
Zusammenfassend prüft der Verifizierer, ob die folgende Kongruenz erfüll ist:
Falls x 1 =
3
1
3
xKomp[ s
(h(m) G
3
e
)]
(mod p)
(4.5-18)
A
Nachweis der Verifikationsbedingung
Wenn man (4.5-16) in (4.5-18) einsetzt, erhält man
1
3
xKomp[ s
(h(m) G
3
d
G)]
(mod p)
(4.5-19)
A
Wir verlangen also, dass der Verifizierer den gleichen Punkt der Kurve berechnen kann wie
der Signierer. Dies ist dann erfüllt, wenn (r·G) in (4.5-17), rechter Teil, und
(s 1 ·G·(h(m)+
·d A )) in (4.5-19) gleich sind. Die Gleichheit r=s 1 ·(h(m)+
3
3
·d A ) nach Kürzen von
G lässt sich umformen in s=r 1 ·(h(m)+
3
·d A ). Genau diese Bedingung wurde in (4.5-17) von
dem Signierer bereits sicher gestellt.
Eine vereinfachte Erklärung, wieso ein Angreifer ohne d A keine gültige Signatur erstellen
kann, ist die folgende. Er ist erstens nicht in der Lage, d A aus e A und G zu berechnen wegen
des EC-DLP. Versucht er den Punkt (x 1 , y 1 ) = u 1 G + u 2 e A zu wählen und passende
und s zu
berechnen, dann findet er sich vor dem Problem, einen Punkt auf der elliptischen Kurve be-
stimmen zu müssen, der
3:
3:
als x-Koordinate hat. Wiederum bedeutet das eine brute-force-
Suche der Kurvenpunkte.
Man erkennt leicht, dass sich sehr wenig in der Methodik der Berechnung ändert, im Vergleich
zum DSA ohne elliptische Kurven. Der Algorithmus wird nur auf die Eigenschaften der ellip-
tischen Kurven und das EC-DLP-Problem angepasst.
4.5.8 Ausblick
Wie auch bei anderen Kryptosystemen, geht die Forschung bei elliptischen Kurven weiter.
Man sucht immer bessere Angriffsverfahren, aber auch neue Möglichkeiten, die Effizienz und
Sicherheit der bestehenden Systeme zu verbessern.
Search WWH ::




Custom Search