Cryptography Reference
In-Depth Information
12 Signaturverfahren
Wir greifen ein Thema wieder auf, das wir am Ende von Kapitel 4 im Ab-
schnitt 4.4.4 schon einmal auf sehr abstrakter Ebene angesprochen habe - das
Si-
gnieren
von Nachrichten. Da wir jetzt (mutmaßliche) Einwegfunktionen mit Hin-
tertürchen zur Verfügung haben, können wir konkrete Verfahren beschreiben.
Die Aufgabe ist es, eine digitale Unterschrift zu erzeugen, die weder gefälscht
noch geleugnet werden kann. Ein digitales Dokument muss zweifellos einem
Verfasser zugeordnet werden. Das gelingt mithilfe von Public-Key-Verfahren, die
dazu
umgekehrt
werden. Um naheliegende Angriffe abzuwehren und die Verfah-
ren effizienter gestalten zu können, ist es sinnvoll, Hashfunktionen einzusetzen.
Es wird dann nicht die Nachricht selbst, sondern ein Hashwert davon signiert.
Wir beschreiben das
RSA-
und
ElGamal-Signaturverfahren
, den sogenannten
Digi-
tal Signature Standard
sowie das
Signaturverfahren nach Schnorr
.
Auch wenn wir im vorliegenden Kapitel digitale Signaturen als bloße Authentifi-
kationssysteme (siehe Kapitel 5) betrachten, bieten sie eigentlich mehr. Wir haben
das bereits in einer Bemerkung auf Seite 79 festgehalten.
12.1 Allgemeines zu Signaturverfahren
Wie in Abschnitt 4.4.4 beschrieben, kann man mit einer Art Umkehrung eines
Public-Key-Verfahrens eine digitale Signatur erzeugen.
Der Verfasser
V
eines Dokumentes kann mit seinem geheimen, nur ihm bekann-
ten Schlüssel
d
eines Public-Key-Verfahrens das Dokument
N
signieren
. Es ent-
N
S
=
(
N
)
steht dabei aus
. Jeder andere Teilnehmer kann auf
den öffentlichen Schlüssel
e
des
Unterzeichners
zugreifen und damit die Gleich-
heit
eine Signatur
d
N
=
(
(
N
))
verifizieren. Weil der geheime Schlüssel
d
nur dem Verfasser
V
des Dokuments bekannt ist (oder sein sollte), ist dies ein
Beweis
dafür, dass die
Signatur
e
d
vom Verfasser
V
stammt.
Diese schlichte Version hat noch einige Schwächen, auf die wir bei den konkreten
Beispielen eingehen werden.
S
des Dokuments
N
12.2 Das RSA-Signaturverfahren
Ein Signaturverfahren ergibt sich aus der Einwegfunktion mit Hintertürchen des
RSA-Verschlüsselungsverfahren. Das zunächst beschriebene Verfahren ist nicht
sicher, aber es zeigt wesentliche Züge aller Signaturverfahren, daher sprechen
wir es kurz an. Wir werden später geeignete Modifikationen beschreiben. Vorab
erinnern wir kurz an die Situation beim RSA-Verschlüsselungsverfahren.
