Diskussion:Merkle-Signatur

Aus dem Abschnitt "Verifizierung":

Falls ${\displaystyle sig'}$ eine gültige Signatur von ${\displaystyle M}$ ist, berechnet der Empfänger ${\displaystyle A_{0}=H(Y_{i})}$, indem er den Hash-Wert des öffentlichen Schlüssels der Einmalsignatur berechnet.

War ${\displaystyle Y_{i}}$ nicht der private Schlüssel? --Cebus 00:22, 3. Dez. 2011 (CET)Beantworten

richtig. habs korrigiert. danke fuer deine aufmerksamkeit. --Mario d 10:49, 4. Dez. 2011 (CET)Beantworten

Andersrum würde meiner Meinung nach mehr Sinn ergeben. In der Quelle Klintsevich, Anhang A steht: "Verification: After verifying the one-time signature of d, the verifier has to validate the authenticity of the supplied verification key."

Der private Schlüssel ist also gar nicht Teil der Signatur, nur die öffentlichen Schlüssel werden gehasht. In der Konvention der Abbildungen wäre dann ${\displaystyle X_{i}}$ ist der private Schlüssel und ${\displaystyle Y_{i}}$ der öffentliche.--Cebus 01:24, 5. Dez. 2011 (CET)Beantworten

wenn man mit einer one-time signatur signiert, veroeffentlicht man den geheimen einmalschluessel (bzw. einen teil davon). deshalb kann man auch nur einmal signieren. dass der einmalverifikationsschluessel echt ist, wird dadurch gesichert, dass die berechnung der wurzel (des oeffentlichen Merkle-verifikationsschluessels) nachvollzogen wird, ausgehend vom geheimen schluessel. --Mario d 19:17, 5. Dez. 2011 (CET)Beantworten

Stimmt, könnte man so machen. Sind wir uns darüber einig, dass beide Varianten im Prinzip funktionieren würden? Entweder man benutzt für die Blätter des Hashbaumes die öffentlichen Schlüssel, oder aber die privaten. In beiden Fällen ist die Authentizität der One-Time Signatur nachgewiesen.

Jetzt stellt sich die Frage, welche der beiden Alternativen die naheliegendere ist. Nehmen wir an, ein Angreifer hätte die Hashfunktion des Baumes "geknackt" und kann anhand bereits veröffentlichter Signaturen ein Blatt erraten. Dann wäre es doch dumm, hier schon den privaten Schlüssel preis zu gegeben. Ohne zusätzlichen Aufwand könnte man als zusätzlichen Schutz sozusagen noch die One-Time-Signatur dazwischen schalten. (Bzw. es wäre dilettantisch wenn man es nicht täte.)

Schau dir mal die Seminararbeit an, auf der dieser Artikel beruht. Da wird im ersten Kapitel auch X als privater Schlüssel eingeführt und 2 Abschnitte weiter ist es vertauscht. --Cebus 00:14, 6. Dez. 2011 (CET)Beantworten

bei Lamport-einmalsignaturen ist der oeffentliche schluessel gerade der gehashte geheime schluessel. die aussage ist ein bischen ungenau, weil jeder teil des schluessels einzeln gehasht wird, aber ich vermute, dass dieser umstand dem bild zugrundeliegt. die beiden varianten sind also identisch (fast, weil man bei einer version beim signieren den gesamten geheimen schluessel mitschicken muss). insbesondere sind beide komplett gebrochen, falls ein angreifer die einwegfunktion invertieren kann. die darstellung des verfahrens ist aber sicherlich noch verbesserungsfaehig; ein erster schritt waere, sich die anderen veroeffentlichungen anzuschauen. --Mario d 10:39, 6. Dez. 2011 (CET)Beantworten

Ok, aber werden in der Praxis wirklich Lamport-Signaturen benutzt? Falls die Sicherheit der verbesserten Verfahren auch auf einer Hashfunktion beruht, dürfte sich am Prinzip aber nicht viel ändern. (Entscheidend ist aber nicht das schwächste Glied der Kette, sondern das stärkste.) Ich stimme mit dir überein, dass man wohl weitere Quellen heranziehen muss, um hier weiter zu kommen. --Cebus 12:08, 6. Dez. 2011 (CET)Beantworten

ich kenne kein verfahren aus der praxis, das merkle-signaturen benutzt. falls du auf den CA-log vorschlag der googler anspielst, die signieren nur einen Hash-Baum. den satz mit dem kettenglied habe ich nicht verstanden. --Mario d 13:33, 6. Dez. 2011 (CET)Beantworten

Hier ist ein grosser Fehler drin. Gleich in der ersten Quelle (http://imperia.rz.rub.de:9085/imperia/md/content/seminare/itsss08/becker.pdf) ist ein "Dreher" drin. Da wird in Abschnitt "3.1" X als öffentlicher Schlüssel bezeichnet und Y als privater. Ab da wird es dann aber richtig verwendet (Y ist öffentlich und X privat). Da hat der Autor vermutlich den Fehler mitgenommen. Es werden also tatsächlich die öffentlichen Schlüssel bei der Erstellung des Baumes verwendet. Es ist auch der öffentliche Schlüssel, der dem Empfänger mitgesendet werden um sig' zu verifizieren. Das weitere Hashen um pub zu erhalten ist dann nur da um zu prüfen ob es sich um einen gültigen öffentlichen Schlüssel handelt. Die privaten Schlüssel bleiben geheim. Andersrum würde es nicht funktionieren, da dieses Verfahren das Kriterium "nicht Verfälschbarkeit" einer digitaler Signatur nicht mehr erfüllt. Dabei ist auch egal, dass es sich um Einmal-Signaturen handelt. Der Angreifer könnte das Gesendete abfangen, die Nachricht M durch Nachricht M' austauschen, aus dem privaten Schlüssel den öffentlichen Schlüssen berechnen (siehe Lamport-Diffie), aus M' und dem privaten Schlüssel die neue Signatur sig′′ berechnen und das Ganze dann weiterleiten. An den Autor: bitte schaue nochmal in deine erste Quelle und korrigiere das. (nicht signierter Beitrag von KreativerName (Diskussion | Beiträge) 21:51, 5. Dez. 2014 (CET))Beantworten

Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „/mathoid/local/v1/“:): 2^{n} öffentlichen Schlüssel, sowie die mit dem entsprechenden privaten Schlüssel signierte Nachricht. Der Empfänger kann verifizieren, dass der Sender tatsächlich in Besitz des privaten S (nicht signierter Beitrag von 2A05:3E00:9:55:4966:567C:F89E:E92E (Diskussion | Beiträge) 10:57, 7. Jun. 2016 (CEST))Beantworten