Diskussion:Schnorr-Signatur

Verbreitung dieses Algorithmus?

Dem Artikel fehlen Informationen darüber, wo dieser Algorithmus eingesetzt wird. Oder ist das einfach nur ein hübscher Algorithmus, den sich Prof. Schnorr ausgedacht und in seiner Vorlesung vorgestellt hat? --jpp ?! 21:24, 29. Jul 2006 (CEST)

Praktische Verbreitung kann ich nicht beurteilen, der Algorithmus wird aber in der Literatur häufig zitiert und mit der Beschreibung im Lehrbuch Angewandte Kryptographie von Schneier sind die Relevanzkriterien erfüllt.--Flegmon 00:02, 2. Jan. 2011 (CET)

Der Signaturalgorithmus en:EdDSA verwendet eine Variante der Schnorr-Signatur.--Ann (Diskussion) 12:02, 28. Aug. 2022 (CEST)

Sicherheitsdiskussion (informell)

"Angenommen, es gäbe einen erfolgreichen Unterschriftenfälscher."

Dieser Satz erscheint zusammenhanglos.

Jetzt besser?--Flegmon 23:52, 1. Jan. 2011 (CET)

Hmmmm - wenn der Hacker die Signaturen für zwei Nachrichten mit identischem k berechnen kann, dann kann er damit aber auch x, den sogenannten diskreten Logarithmus berechnen. Vorausgesetzt jeder Wert k wird nur einmal benutzt und der diskrete Logarithmus ist tatsächlich praktisch nicht berechenbar, dann ist das Verfahren wirklich sicher.

Aber die Beweisführung ist auch für die Elgamal-Signatur und DSA anwendbar.

Hmmmm - aber stimmt der Beweis wirklich? Also wir nehmen an, ein Hacker sei in der Lage Unterschriften zu fälschen. Die Behauptung ist, er kann folglich auch den Wert x, das heißt den diskreten Logarithmus berechnen.

Stimmt das wirklich? Ich sage nein!

Um x zu berechnen kann der Angreifer versuchen zwei gültige Signaturen, die sich aus dem gleichen Zufallswert k ergeben, zu berechnen. Um die Signaturen zu fälschen, muss er dies aber nicht zwingend tun. Er genügt lediglich einen Wert für die Signatur zu finden, der als gültige Signatur anerkannt wird, also erfolgreich verifiziert wird.

Der Beweis ist also kein hundert Prozent vollständiger Beweis, allenfalls ein Argument für die Sicherheit des Verfahrens.

-- 84.118.82.226 17:54, 15. Mär. 2018 (CET)

... und warum machen wir es nicht ganz einfach?

Wir bauen einen versiegelten Computer mit einem Zufallsgenerator. Damit können die Hashwerte beliebiger Nachrichten signiert werden. Die Hashwerte sind eindeutig den Nachrichten zugeordnet. Faktisch werden also auch die Nachrichten signiert.

Beim dem Schnorr-Verfahren werden Zufallszahlen k benötigt. Dies werden mit dem Zufallsgenerator erzeugt. Aber nur die Signatur, nicht die Zufallszahlen, werden ausgegeben.

Die Signaturen sind eindeutig den Nachrichten zugeordnet. Sie können nur mit dem versiegelten Computer erstellt werden. Dass eine Nachricht mit dem Computer signiert wurde, kann eindeutig, wahrhaft mit aller höchster Sicherheit, nachgewiesen werden, wenn das Siegel gebrochen wird. Dank dem asymmetrischen Signaturverfahren, ist aber eine zuverlässige Prüfung auch möglich, ohne das Siegel zu brechen.

• mit Python programmiert.

-- 84.118.82.226 12:01, 17. Mär. 2018 (CET)

Das kann nicht funktionieren, weil zum Verifizieren der Nachricht g, p und ${\displaystyle y:=g^{x}\mod p}$ benötigt werden, und man grundsätzlich x immer – zumindest durch Durchprobieren, effizienter z.B. durch Pollard-Rho – aus jenen drei Werten berechnen kann. Umgehen könnte man das nur dadurch, dass man auch die anderen Parameter nicht rausgibt, dann funktioniert aber die Signaturprüfung wirklich nur nach dem "Aufbrechen" des Geräts. Nur, dass man in so einem Szenario auch effizientere – symmetrische – Verfahren benutzen könnte.

Falls man den öffentlichen Schlüssel rausgibt, kommt man also so oder so nicht drum herum, p so groß zu wählen, dass die Berechnung des diskreten Logarithmus nach heutigem Kenntnisstand nicht mit realistischem Ressourcenaufwand gelingt. Warum Kenntnisstand? Da besteht noch das Problem, dass nie bewiesen wurde, dass der DL für große (zumindest prime) Moduli schwer zu berechnen ist. Der Beweis dafür, dass es nicht in (deterministisch) polynomialer Zeit möglich ist, wäre dann auch gleichzeitig der Beweis, dass ${\displaystyle {\mathcal {P}}\neq {\mathcal {NP}}}$, also zumindest stünde darauf eine Million Dollar Preisgeld (Problem 4).

Doch auch die schwächere Vermutung, dass es, unter der Bedingung ${\displaystyle {\mathcal {P}}\neq {\mathcal {NP}}}$ nicht in polynomialer Zeit geht, wurde bisher nicht bewiesen, und stellt sich als ziemlich harte Nuss heraus, die vielleicht noch Generationen von Mathematikern beschäftigen wird. Aragorn2 (Diskussion) 16:47, 20. Mai 2019 (CEST)

Doch - das One-Time-Pad ist sicher

Die Signatur kann als verschlüsselter Wert von xe betrachtet werden,

verschlüsselt mit dem One-Time-Pad - total sicher!

${\displaystyle s=(k+xe){\bmod {q}}}$

Ja, ein One-Pime-Pad für ein Alphabet mit q Buchstaben.

Wir könnnen

${\displaystyle p=1158567+2^{1501}=2q+1}$

verwenden, weil wir uns leicht merken können;

• Eselsbrücke

-- Franz Scheerer (Wiesbaden) (Diskussion) 13:53, 19. Mär. 2018 (CET)