Cryptography Reference
In-Depth Information
Daneben gibt es auch einige Angriffe, die nur beim Signieren mit RSA funk-
tionieren. Bei diesen Angriffen versucht Mallory, Alices digitale Signatur zu fäl-
schen, ohne Alices Schlüssel zu kennen. Beispielsweise kann Mallory Alices Sig-
natur-Software so verändern, dass das, was Alice am Bildschirm sieht, nicht das
ist, was sie signiert (Darstellungsangriff). Dieser Angriff ist zweifellos die größte
Schwachstelle digitaler Signaturen überhaupt. In Abschnitt 17.2 gibt es mehr dazu.
Unterschiebe-Angriff
Gefährlich kann es werden, wenn Alice zum Verschlüsseln und Signieren densel-
ben Schlüssel verwendet. Mallory kann in diesem Fall beispielsweise einen
Geheimtext nehmen, den Bob mit Alices öffentlichem Schlüssel verschlüsselt hat,
und diesen von Alice signieren lassen (
Unterschiebe-Angriff
). Da das RSA-Signie-
ren dem RSA-Entschlüsseln entspricht, entsteht hierbei der Klartext - möglicher-
weise ohne dass Alice dies merkt. Um einen solchen Angriff zu verhindern, sollten
Alice und Bob zum Verschlüsseln und Signieren jeweils unterschiedliche Schlüs-
selpaare verwenden. Praktisch alle gängigen Krypto-Implementierungen sehen
eine solche Schlüsseltrennung vor.
RSA und Zufallsorakel
Das RSA-Verfahren ist kein Zufallsorakel. Dies zeigt folgender Angriff, den Mal-
lory starten kann:
1. Mallory generiert drei Nachrichten
m
1
,
m
2
und
m
3
, die folgende Eigenschaft
erfüllen:
m
1
·
m
2
=
m
3
.
2. Mallory lässt Alice
m
1
signieren und erhält die Signatur
s
1
.
3. Mallory lässt Alice
m
2
signieren und erhält die Signatur
s
2
.
Die Eigenschaften des RSA-Verfahrens bringen es mit sich, dass nun
s
3
=
s
1
·
s
2
mod
n
gilt. Mallory besitzt nun eine gültige Signatur von Alice für
m
3
. Es gibt noch wei-
tere Beispiele, die belegen, dass RSA kein Zufallsorakel ist. Abschnitt 19.4 zeigt,
was Alice und Bob tun können, um dies zu ändern.
12.3
Signaturen auf Basis des diskreten Logarithmus
Neben RSA gibt es derzeit nur noch eine weitere Gruppe von Signaturverfahren,
die praktische Relevanz hat: die recht vielfältige Familie der Signaturen auf Basis
des diskreten Logarithmus. Man bezeichnet diese auch als
DLSS
s (Discrete Loga-
rithm Signature Systems). Die DLSSs sind eine Weiterentwicklung des Diffie-
Hellman-Schlüsselaustauschs und basieren somit auf dem Problem des diskreten
Logarithmus. Dies bedeutet, dass Bobs privater Schlüssel eine natürliche Zahl
x
und der öffentliche Schlüssel
g
x
(mod
p
) ist. Insgesamt gibt es über 13.000 Varia-
tionen der Signaturverfahren auf Basis des diskreten Logarithmus. Wir wollen
