Benutzer:Bananenfalter/GMR (Signaturverfahren)

Weblinks[Bearbeiten | Quelltext bearbeiten]

Wikibooks: Beweisarchiv: Sicherheit des GMR-Signatursystems – Lern- und Lehrmaterialien

Alter Artikel[Bearbeiten | Quelltext bearbeiten]

GMR ist ein digitales Signaturverfahren, das nach seinen Erfindern Shafi Goldwasser, Silvio Micali und Ronald L. Rivest benannt ist.

Wie auch RSA beruht GMR auf der Faktorisierungsannahme, dass es bijektive Funktionen gibt, die schnell zu berechnen sind, bei denen die Berechnung der Umkehrfunktion jedoch sehr aufwändig ist.
Im Gegensatz zu RSA lässt sich für GMR jedoch beweisen, dass es selbst bei einem adaptiven aktiven Angriff nicht möglich ist, auch nur eine neue Signatur zu fälschen.

Das Verfahren im Einzelnen[Bearbeiten | Quelltext bearbeiten]

Man benötigt ein kollisionsresistentes Permutationspaar mit Geheimnis ${\displaystyle f_{0}^{},f_{1}^{}}$ mit dem Definitionsbereich ${\displaystyle D}$. Der Besitzer des Geheimnisses kann die Umkehrfunktionen ${\displaystyle f_{0}^{-1}}$ und ${\displaystyle f_{1}^{-1}}$ leicht berechnen. Für alle anderen ist das schwer.

Um eine einzige Nachricht zu signieren muss der Sender eine Referenz aus ${\displaystyle D}$ zufällig wählen und authentisch veröffentlichen. Um eine n bit lange Nachricht ${\displaystyle m_{1},m_{2},...,m_{n}}$ zu signieren berechnet er die Signatur ${\displaystyle f_{m_{1}}^{-1}(f_{m_{2}}^{-1}(..f_{m_{n}}^{-1}(R)..))}$. Der Empfänger kann die Umkehrfunktion davon berechnen und das Ergebnis mit der Referenz vergleichen.

Offensichtlich besteht das Problem darin, für jede Nachricht eine neue Referenz zu veröffentlichen. Dies wird mit Referenzbäumen realisiert.

Notizen[Bearbeiten | Quelltext bearbeiten]

http://www.infosec.pku.edu.cn/course/2004/GMR84.pdf – Originalpaper http://www.semper.org/sirene/publ/FoPf_91GMR.VIS91.ps.gz

Permutationspaar:

${\displaystyle {\begin{aligned}f_{0}(x)&\colon ={\begin{cases}x^{2}\mod n,&{\text{falls }}x^{2}\mod n<{\frac {n}{2}},\\-x^{2}\mod n&{\text{ sonst.}}\end{cases}}\\f_{1}(x)&\colon ={\begin{cases}4\cdot x^{2}\mod n,&{\text{falls }}4\cdot x^{2}\mod n<{\frac {n}{2}},\\-4\cdot x^{2}\mod n&{\text{ sonst.}}\end{cases}}\end{aligned}}}$

• Verifizieren beginnend mit MSB
• einfach zu berechnen

Umkehrpermutation:

${\displaystyle {\begin{aligned}f_{0}^{-1}(x)&\colon ={\begin{cases}{\sqrt {x}}\mod n,&{\text{falls }}{\sqrt {x}}<{\frac {n}{2}},\\-{\sqrt {x}}\mod n&{\text{sonst.}}\end{cases}}\\f_{1}^{-1}(x)&\colon ={\begin{cases}2^{-1}{\sqrt {x}}\mod n,&{\text{falls }}2^{-1}{\sqrt {x}}<{\frac {n}{2}},\\-2^{-1}{\sqrt {x}}\mod n&{\text{sonst.}}\end{cases}}\end{aligned}}}$

• Signieren beginnend mit LSB
• Wurzelziehen mod n ist schwer, Berechnung nur mittels Kenntnis von p, q prim mit n = p · q

Probleme:

• Jedes Zwischenergebnis ist die korrekte Signatur der bis dahin verkürzten Nachricht. → präfixfreie Nachricht
• Einmalreferenzen ${\displaystyle R}$ müssen authentisch sein. → Referenzenbaum

Handbook of Cryptography, S.468 ff.[Bearbeiten | Quelltext bearbeiten]

• GMR ist Einmal-Signatur-Schema → durch Erweiterung mit Referenzbaum kann man mehrere Nachrichten signieren
• eher theoretischer Natur, aber trotzdem praktisch umsetzbar → Sirene: Fox/Pfitzmann
• kollisionsfreie Permutation: es ist praktisch unmöglich ein Paar x,y \in D, x \neq y zu finden, für welches f_0(x) = f_1(y)
• Einwegpermutation mit Falltür: unter Kenntnis einer Zusatzinformation (hier p, q) ist es effizient möglich f_0^{-1} und f_1^{-1} zu bestimmen.
• Wenn ein Angreifer die Umkehrpermutation berechnen könnte, dann wäre es leicht eine Kollision zu finden: wähle x, berechne z = f_0(x) und y = f_1^{-1}(z), dann ist f_0(x) = f_1(y).

• Wahl von p und q: p \equiv 3 \pmod 4 und q \equiv 7 \pmod 8 – notwendig, da sonst nicht gewährleistet ist, dass die Permutation kollisionsresistent ist (siehe Beweis) → Sicherheit kann auf Faktorisierungsannahme zurückgeführt werden

Parameter:

${\displaystyle R}$ … zufällig gewählter Verifikationsparameter (Referenz, eine binäre Zeichenkette)

${\displaystyle \left(f_{0},f_{1},R\right)}$ … öffentlicher Verifikationsschlüssel

${\displaystyle \left(f_{0}^{-1},f_{1}^{-1}\right)}$ … privater Signierschlüssel

Eine binäre Zeichenkette ${\displaystyle m=m_{1}|m_{2}|m_{3}|\dots |m_{t}}$ kann mit dem Verifikationsparameter ${\displaystyle R}$ signiert werden. Man beachte dabei die umgekehrte Reihenfolge, in der die einzelnen Zeichen bearbeitet werden:

${\displaystyle sig_{R}(m)=f_{m_{1}}^{-1}\left(f_{m_{2}}^{-1}\left(f_{m_{3}}^{-1}\left(\dots f_{m_{t}}^{-1}\left(R\right)\dots \right)\right)\right)}$

Der Signierer sendet Nachricht und Signatur ${\displaystyle \left(m,sig_{R}(m)\right)}$ an den Empfänger. Dieser kann nun die Signatur überprüfen:

${\displaystyle R^{\prime }=f_{m_{t}}\left(\dots f_{m_{3}}\left(f_{m_{2}}\left(f_{m_{1}}\left(sig_{R}(m)\right)\right)\right)\dots \right)}$

${\displaystyle R^{\prime }\ {\stackrel {\mathrm {?} }{=}}\ R}$

Ist die berechnete Referenz ${\displaystyle R^{\prime }}$ gleich dem Verifikationsparameter ${\displaystyle R}$, so kann davon ausgegangen werden, dass die Nachricht ${\displaystyle m}$ vom Besitzer des privaten Schlüssels signiert und seit dem nicht verändert wurde. Die Authentizität des Signierers muss auf andere Weise sichergestellt werden, zum Beispiel indem öffentliche Schlüssel zertifiziert werden.

Der Verifikationsparameter ${\displaystyle R}$ sollte erst mit der Nachricht veröffentlicht werden, da es für einen Angreifer sonst über einen längeren Zeitraum mit entsprechend hohem Rechenaufwand möglich sein könnte, eine Kollision und somit eine andere Nachricht zu finden, welche bei gleichem Verifikationsparameter die gleiche Signatur erzeugt. [Quelle!?]

Referenzbaum[Bearbeiten | Quelltext bearbeiten]

• authentication trees
• öffentlicher Binärbaum mit ${\displaystyle 2^{k}}$ Blattknoten
• (vorerst) nicht-öffentliche ${\displaystyle 2^{k}}$ zufällige Referenzen ${\displaystyle R_{i}}$

Erstellen eines Referenzbaumes:

1. Wähle zufällige Wurzelreferenz ${\displaystyle r}$ und weitere Referenzen ${\displaystyle r_{0}}$ und ${\displaystyle r_{1}}$.
2. Erstelle mittels GMR Signatur für Verkettung von ${\displaystyle r_{0}}$ und ${\displaystyle r_{1}}$ mit dem Verifikationsparameter ${\displaystyle r}$: ${\displaystyle sig_{r}(r_{0}|r_{1})}$
3. Wähle zufällige Referenzen ${\displaystyle r_{00}}$ und ${\displaystyle r_{01}}$. Signiere diese mit dem Verifikationsparameter ${\displaystyle r_{0}}$: ${\displaystyle sig_{r_{0}}(r_{00}|r_{01})}$
4. Und so weiter: Dies kann für jeden Ast beliebig oft wiederholt werden. Immer werden zwei neue zufällig gewählte Referenzen ${\displaystyle r_{j0},r_{j1}}$ mit der übergeordneten Referenz ${\displaystyle r_{j}}$ signiert. Um ${\displaystyle 2^{k}}$ Blattknoten zu erhalten muss der Binärbaum ${\displaystyle k}$ Ebenen haben.

Es muss mindestens die Wurzelreferenz öffentlich bekannt sein. Neue Äste können bei Bedarf erstellt werden. Soll eine Nachricht signiert werden, dann wählt man eine der noch nicht veröffentlichten Referenzen ${\displaystyle R_{i}}$. Diese wird mit einem noch nicht verwendeten Blattknoten als Verifikationsparamter signiert: ${\displaystyle sig_{R_{i}}(r_{i})}$. Um eine Signatur zu überprüfen benötigt der Verifizierer immer mindestens die Referenzen und deren Signaturen des gesamten Astes vom Wurzelknoten bis zum entsprechenden Blattknoten sowie den Verifikationsparameter für die Nachricht ${\displaystyle R_{i}}$ und dessen Signatur ${\displaystyle sig_{R_{i}}(r_{i})}$. ${\displaystyle R_{i}}$ und dessen Signatur werden, wie im Fall ohne Referenzbäume immer erst mit der Nachricht veröffentlicht.

→ Beispiel