Cryptography Reference
In-Depth Information
Alice kann Schritt 1 auch weglassen, wenn sie keine sinnvolle Quelle für
X
hat.
Der beschriebene Ablauf der Fortschaltung ist gegenüber der NIST-Empfehlung
etwas vereinfacht, da er pro Aufruf jeweils
b
Zufalls-Bits ausgibt. In der NIST-
Empfehlung sind einige Schritte etwas allgemeiner gehalten, damit Alice auch
mehr oder weniger Zufalls-Bits pro Fortschaltung generieren kann.
ANSI X9.42-2001 Annex C.1
Der Pseudozufallsgenerator
ANSI X9.42-2001 Annex C.1
(er wird in [X9.42]
beschrieben) verwendet die kryptografische Hashfunktion SHA-1. Allerdings mit
einer leichten Änderung: Auf das von SHA-1 vorgesehene Padding wird verzich-
tet, stattdessen füllt Alice das Urbild (es ist maximal 512 Bit lang) mit Null-Bits
zu einem 512-Bit-Block auf. Alice wählt einen Startwert, der wiederum in einer
Variablen
A
gespeichert wird. Deren Länge
b
beträgt mindestens 160 und höchs-
tens 512 Bit. Pro Fortschaltung werden 160 Zufalls-Bits generiert. Die Fortschal-
tung sieht wie folgt aus (
X
steht wiederum für einen beliebigen zusätzlichen
Input, der beispielsweise von einem anderen Zufallsgenerator kommen kann):
A
=
A
+
X
(mod 2
b
)
1.
2.
Gib als Zufallswert aus: SHA-1(
A
)
A
=
A
+ SHA-1(
A
) + 1 (mod 2
b
)
3.
Es spricht nichts dagegen, dieses Verfahren auch mit einer anderen kryptografi-
schen Hashfunktion anzuwenden. Gegenüber
NIST SP 800-90 Kapitel 10
hat es
den Vorteil, dass die Generierung des Hashwerts durch das einfachere Padding
etwas performanter ist.
ANSI X9.42-2001 Annex C.1
ist eines von drei Verfah-
ren, die in der Kategorie Pseudozufallsgeneratoren des CRYPTREC-Wettbewerbs
positiv bewertet wurden [CRYPTR]. Als Wettbewerbssieger kann man das Ver-
fahren dennoch nicht bezeichnen, da die CRYPTREC-Regularien von Anfang an
vorsahen, in der Kategorie Pseudozufallsgeneratoren nur ein paar Beispiele zu
betrachten. Angesichts der Vielzahl von Verfahren in unzähligen Varianten und
der fehlenden Notwendigkeit für eine Standardisierung verzichtete man auf einen
umfassenden Wettbewerb in dieser Sparte.
FIPS 186-2 (+ change notice 1) Appendix 3.1
FIPS 186-2 ist der Data Signature Standard (DSS), also der Standard, in dem der
DSA beschrieben wird [FIPS-186]. Im Anhang 3.1 dieses Dokuments wird ein
Pseudozufallsgenerator beschrieben, den Alice und Bob verwenden können, um
einen privaten DSA-Schlüssel zu berechnen. Dabei handelt es sich um eine Zahl,
die kleiner als die vom Standard vorgegebene 160-Bit-Primzahl
q
sein muss. Mit
der Change Notice 1 wurde das im Standard ursprünglich aufgeführte Verfahren
durch ein anderes ersetzt. Die Bezeichnung für dieses Verfahren ist daher
FIPS
186-2 (+ change notice 1) Appendix 3.1
. Es entspricht dem oben beschriebenen
