Benutzer:Bananenfalter/GMR (Signaturverfahren)

Weblinks

Wikibooks: Beweisarchiv: Sicherheit des GMR-Signatursystems – Lern- und Lehrmaterialien

Alter Artikel

GMR ist ein digitales Signaturverfahren, das nach seinen Erfindern Shafi Goldwasser, Silvio Micali und Ronald L. Rivest benannt ist.

Wie auch RSA beruht GMR auf der Faktorisierungsannahme, dass es bijektive Funktionen gibt, die schnell zu berechnen sind, bei denen die Berechnung der Umkehrfunktion jedoch sehr aufwändig ist.
Im Gegensatz zu RSA lässt sich für GMR jedoch beweisen, dass es selbst bei einem adaptiven aktiven Angriff nicht möglich ist, auch nur eine neue Signatur zu fälschen.

Das Verfahren im Einzelnen

Man benötigt ein kollisionsresistentes Permutationspaar mit Geheimnis ${\displaystyle f_{0}^{},f_{1}^{}}$ mit dem Definitionsbereich ${\displaystyle D}$. Der Besitzer des Geheimnisses kann die Umkehrfunktionen ${\displaystyle f_{0}^{-1}}$ und ${\displaystyle f_{1}^{-1}}$ leicht berechnen. Für alle anderen ist das schwer.

Um eine einzige Nachricht zu signieren muss der Sender eine Referenz aus ${\displaystyle D}$ zufällig wählen und authentisch veröffentlichen. Um eine n bit lange Nachricht ${\displaystyle m_{1},m_{2},...,m_{n}}$ zu signieren berechnet er die Signatur ${\displaystyle f_{m_{1}}^{-1}(f_{m_{2}}^{-1}(..f_{m_{n}}^{-1}(R)..))}$. Der Empfänger kann die Umkehrfunktion davon berechnen und das Ergebnis mit der Referenz vergleichen.

Offensichtlich besteht das Problem darin, für jede Nachricht eine neue Referenz zu veröffentlichen. Dies wird mit Referenzbäumen realisiert.

Notizen

http://www.infosec.pku.edu.cn/course/2004/GMR84.pdf – Originalpaper http://www.semper.org/sirene/publ/FoPf_91GMR.VIS91.ps.gz

Permutationspaar:

${\displaystyle {\begin{aligned}f_{0}(x)&\colon ={\begin{cases}x^{2}\mod n,&{\text{falls }}x^{2}\mod n<{\frac {n}{2}},\\-x^{2}\mod n&{\text{ sonst.}}\end{cases}}\\f_{1}(x)&\colon ={\begin{cases}4\cdot x^{2}\mod n,&{\text{falls }}4\cdot x^{2}\mod n<{\frac {n}{2}},\\-4\cdot x^{2}\mod n&{\text{ sonst.}}\end{cases}}\end{aligned}}}$

• Verifizieren beginnend mit MSB
• einfach zu berechnen

Umkehrpermutation:

${\displaystyle {\begin{aligned}f_{0}^{-1}(x)&\colon ={\begin{cases}{\sqrt {x}}\mod n,&{\text{falls }}{\sqrt {x}}<{\frac {n}{2}},\\-{\sqrt {x}}\mod n&{\text{sonst.}}\end{cases}}\\f_{1}^{-1}(x)&\colon ={\begin{cases}2^{-1}{\sqrt {x}}\mod n,&{\text{falls }}2^{-1}{\sqrt {x}}<{\frac {n}{2}},\\-2^{-1}{\sqrt {x}}\mod n&{\text{sonst.}}\end{cases}}\end{aligned}}}$

• Signieren beginnend mit LSB
• Wurzelziehen mod n ist schwer, Berechnung nur mittels Kenntnis von p, q prim mit n = p · q

Probleme:

• Jedes Zwischenergebnis ist die korrekte Signatur der bis dahin verkürzten Nachricht. → präfixfreie Nachricht
• Einmalreferenzen ${\displaystyle R}$ müssen authentisch sein. → Referenzenbaum

Handbook of Cryptography, S.468 ff.

• GMR ist Einmal-Signatur-Schema → durch Erweiterung mit Referenzbaum kann man mehrere Nachrichten signieren
• eher theoretischer Natur, aber trotzdem praktisch umsetzbar → Sirene: Fox/Pfitzmann
• kollisionsfreie Permutation: es ist praktisch unmöglich ein Paar x,y \in D, x \neq y zu finden, für welches f_0(x) = f_1(y)
• Einwegpermutation mit Falltür: unter Kenntnis einer Zusatzinformation (hier p, q) ist es effizient möglich f_0^{-1} und f_1^{-1} zu bestimmen.
• Wenn ein Angreifer die Umkehrpermutation berechnen könnte, dann wäre es leicht eine Kollision zu finden: wähle x, berechne z = f_0(x) und y = f_1^{-1}(z), dann ist f_0(x) = f_1(y).

• Wahl von p und q: p \equiv 3 \pmod 4 und q \equiv 7 \pmod 8 – notwendig, da sonst nicht gewährleistet ist, dass die Permutation kollisionsresistent ist (siehe Beweis) → Sicherheit kann auf Faktorisierungsannahme zurückgeführt werden

Parameter:

${\displaystyle R}$ … zufällig gewählter Verifikationsparameter (Referenz, eine binäre Zeichenkette)

${\displaystyle \left(f_{0},f_{1},R\right)}$ … öffentlicher Verifikationsschlüssel

${\displaystyle \left(f_{0}^{-1},f_{1}^{-1}\right)}$ … privater Signierschlüssel

Eine binäre Zeichenkette ${\displaystyle m=m_{1}|m_{2}|m_{3}|\dots |m_{t}}$ kann mit dem Verifikationsparameter ${\displaystyle R}$ signiert werden. Man beachte dabei die umgekehrte Reihenfolge, in der die einzelnen Zeichen bearbeitet werden:

${\displaystyle sig_{R}(m)=f_{m_{1}}^{-1}\left(f_{m_{2}}^{-1}\left(f_{m_{3}}^{-1}\left(\dots f_{m_{t}}^{-1}\left(R\right)\dots \right)\right)\right)}$

Der Signierer sendet Nachricht und Signatur ${\displaystyle \left(m,sig_{R}(m)\right)}$ an den Empfänger. Dieser kann nun die Signatur überprüfen:

${\displaystyle R^{\prime }=f_{m_{t}}\left(\dots f_{m_{3}}\left(f_{m_{2}}\left(f_{m_{1}}\left(sig_{R}(m)\right)\right)\right)\dots \right)}$

${\displaystyle R^{\prime }\ {\stackrel {\mathrm {?} }{=}}\ R}$

Ist die berechnete Referenz ${\displaystyle R^{\prime }}$ gleich dem Verifikationsparameter ${\displaystyle R}$, so kann davon ausgegangen werden, dass die Nachricht ${\displaystyle m}$ vom Besitzer des privaten Schlüssels signiert und seit dem nicht verändert wurde. Die Authentizität des Signierers muss auf andere Weise sichergestellt werden, zum Beispiel indem öffentliche Schlüssel zertifiziert werden.

Der Verifikationsparameter ${\displaystyle R}$ sollte erst mit der Nachricht veröffentlicht werden, da es für einen Angreifer sonst über einen längeren Zeitraum mit entsprechend hohem Rechenaufwand möglich sein könnte, eine Kollision und somit eine andere Nachricht zu finden, welche bei gleichem Verifikationsparameter die gleiche Signatur erzeugt. [Quelle!?]

Referenzbaum

• authentication trees
• öffentlicher Binärbaum mit Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle 2^k} Blattknoten
• (vorerst) nicht-öffentliche Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle 2^k} zufällige Referenzen Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle R_i}

Erstellen eines Referenzbaumes:

1. Wähle zufällige Wurzelreferenz Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle r} und weitere Referenzen Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle r_0} und Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle r_1} .
2. Erstelle mittels GMR Signatur für Verkettung von Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle r_0} und Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle r_1} mit dem Verifikationsparameter Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle r} : Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle sig_r(r_0|r_1)}
3. Wähle zufällige Referenzen Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle r_{00}} und Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle r_{01}} . Signiere diese mit dem Verifikationsparameter Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle r_0} : Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle sig_{r_0}(r_{00}|r_{01})}
4. Und so weiter: Dies kann für jeden Ast beliebig oft wiederholt werden. Immer werden zwei neue zufällig gewählte Referenzen Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle r_{j0}, r_{j1}} mit der übergeordneten Referenz Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle r_j} signiert. Um Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle 2^k} Blattknoten zu erhalten muss der Binärbaum Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle k} Ebenen haben.

Es muss mindestens die Wurzelreferenz öffentlich bekannt sein. Neue Äste können bei Bedarf erstellt werden. Soll eine Nachricht signiert werden, dann wählt man eine der noch nicht veröffentlichten Referenzen Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle R_i} . Diese wird mit einem noch nicht verwendeten Blattknoten als Verifikationsparamter signiert: Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle sig_{R_i}(r_i)} . Um eine Signatur zu überprüfen benötigt der Verifizierer immer mindestens die Referenzen und deren Signaturen des gesamten Astes vom Wurzelknoten bis zum entsprechenden Blattknoten sowie den Verifikationsparameter für die Nachricht Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle R_i} und dessen Signatur Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle sig_{R_i}(r_i)} . Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle R_i} und dessen Signatur werden, wie im Fall ohne Referenzbäume immer erst mit der Nachricht veröffentlicht.

→ Beispiel

Referenzbaum…

Referenzbaum…