digitale signaturen - seuf-cma & pairings | dennis …...ch-fkt. sind einmalsignaturen 2...
TRANSCRIPT
![Page 1: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/1.jpg)
0 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK
Digitale SignaturensEUF-CMA & Pairings | Dennis Hofheinz (mit Folien von Björn Kaidel)
KIT – Die Forschungsuniversität in der Helmholtz-Gemeinschaft www.kit.edu
![Page 2: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/2.jpg)
Inhalt
1 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
CH-Fkt. sind Einmalsignaturen (Kap. 3.5)
sEUF-CMA durch Chamäleon-Hashing (Kap. 3.6)
Pairing-basierte Signaturen (Kap. 5)
![Page 3: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/3.jpg)
CH-Fkt. sind Einmalsignaturen
2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Bislang: Konstruktion von CH-Fkt. ähnlich zu EinmalsignaturenJetzt: Transformationen von CH-Fkt. zu Einmalsignatur.
![Page 4: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/4.jpg)
Transformation CH zu Einmalsignatur
3 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
CH-Fkt. CH = (GenCH,TrapCollCH)
Konstruiere Σ = (Gen, Sign,Vfy):
Gen(1k ) :(ch, τ)← Gench(1k )
(m̃, r̃ )←M×Rc := ch(m̃, r̃ )pk := (ch, c), sk := (τ, m̃, r̃ )
![Page 5: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/5.jpg)
Transformation CH zu Einmalsignatur
4 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
pk := (ch, c), sk := (τ, m̃, r̃ )
Sign(sk ,m) :r := TrapCollCH(τ, m̃, r̃ ,m)
σ := r
Vfy(pk ,m, σ) :
c ?= ch(m, σ)
![Page 6: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/6.jpg)
Transformation: Sicherheit
5 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Theorem 47:Σ ist EUF-1-naCMA-sicher, wenn CH kollisionsresistent ist.
(ohne Beweis)
Anm: Wendet man die Transformation auf die DLog-/RSA-CH-Fkt. an,so erhält man die DLog-/RSA-Einmalsignatur aus Kap. 2.3.
![Page 7: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/7.jpg)
Transformation: Sicherheit
5 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Theorem 47:Σ ist EUF-1-naCMA-sicher, wenn CH kollisionsresistent ist.
(ohne Beweis)
Anm: Wendet man die Transformation auf die DLog-/RSA-CH-Fkt. an,so erhält man die DLog-/RSA-Einmalsignatur aus Kap. 2.3.
![Page 8: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/8.jpg)
EUF-CMA - Verstärken?
6 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
CEUF-CMA A
(pk , sk)← Gen(1k ) pk
mi
σi
Anfragen nacheinanderq = q(k) Anfragenq Polynom
m∗ , σ∗
Ver (pk ,m∗, σ∗) = 1?∧
m∗ /∈ {m1, . . . ,mq}?
A gewinnt, falls Vfy(pk ,m∗, σ∗) = 1 und m∗ /∈ {m1, ...,mq}
Frage: Stärkerer Sicherheitsbegriff als EUF-CMA?
![Page 9: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/9.jpg)
sEUF-CMA - Sicherheitsexperiment
7 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
CsEUF-CMA A
(pk , sk)← Gen(1k ) pk
mi
σi
Anfragen nacheinanderq = q(k) Anfragenq Polynom
m∗ , σ∗
Ver (pk ,m∗, σ∗) = 1?∧
(m∗, σ∗) /∈ {(m1, σ1) . . . , (mq , σq)}?
A gewinnt, falls Vfy(pk ,m∗, σ∗) = 1 und(m∗, σ∗) /∈ {(m1, σ1) . . . , (mq , σq)}
![Page 10: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/10.jpg)
Definition: sEUF-CMA
8 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Def. 51: (sEUF-CMA)Ein digitales Signaturverfahren Σ = (Gen, Sign,Vfy) istsEUF-CMA-sicher , falls für alle PPT A gilt, dass
Pr
[ACsEUF-CMA(pk) = (m∗, σ∗) : Vfy(pk ,m∗, σ∗) = 1∧
(m∗, σ∗) /∈ {(m1, σ1), ..., (mq , σq)}
]im Sicherheitsparameter k vernachlässigbar ist.
![Page 11: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/11.jpg)
sEUF-CMA: Anwendungen
9 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
A kann nun auch gewinnen, wenn zu m∗ eine Signaturanfragegesendet hat. . .. . . dann muss σ∗ aber neu sein
Hauptsächlich als Baustein für komplexe Krypto-AnwendungenBeispielsweise um IND-CCA2-sichere PKE zu konstruieren
![Page 12: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/12.jpg)
CH + EUF-CMA→ sEUF-CMA (Skript)
10 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
EUF-CMA Σ′ = (Gen′, Sign′,Vfy′)CH-Fkt. CH = (GenCH,TrapCollCH)
Konstruiere sEUF-CMA-sicheres Σ = (Gen, Sign,Vfy).
Gen(1k ) :(pk ′, sk ′)← Gen′(1k )
(chF , τF )← GenCH(1k )
(chH , τH)← GenCH(1k )
pk = (pk ′, chF , chH)
sk = (sk ′, τH)
![Page 13: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/13.jpg)
CH + EUF-CMA→ sEUF-CMA (Skript)
10 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
EUF-CMA Σ′ = (Gen′, Sign′,Vfy′)CH-Fkt. CH = (GenCH,TrapCollCH)
Konstruiere sEUF-CMA-sicheres Σ = (Gen, Sign,Vfy).
Gen(1k ) :(pk ′, sk ′)← Gen′(1k )
(chF , τF )← GenCH(1k )
(chH , τH)← GenCH(1k )
pk = (pk ′, chF , chH)
sk = (sk ′, τH)
![Page 14: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/14.jpg)
CH + EUF-CMA→ sEUF-CMA (Skript)
10 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
EUF-CMA Σ′ = (Gen′, Sign′,Vfy′)CH-Fkt. CH = (GenCH,TrapCollCH)
Konstruiere sEUF-CMA-sicheres Σ = (Gen, Sign,Vfy).
Gen(1k ) :(pk ′, sk ′)← Gen′(1k )
(chF , τF )← GenCH(1k )
(chH , τH)← GenCH(1k )
pk = (pk ′, chF , chH)
sk = (sk ′, τH)
![Page 15: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/15.jpg)
CH + EUF-CMA→ sEUF-CMA (Skript)
10 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
EUF-CMA Σ′ = (Gen′, Sign′,Vfy′)CH-Fkt. CH = (GenCH,TrapCollCH)
Konstruiere sEUF-CMA-sicheres Σ = (Gen, Sign,Vfy).
Gen(1k ) :(pk ′, sk ′)← Gen′(1k )
(chF , τF )← GenCH(1k )
(chH , τH)← GenCH(1k )
pk = (pk ′, chF , chH)
sk = (sk ′, τH)
![Page 16: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/16.jpg)
CH + EUF-CMA→ sEUF-CMA (Skript)
11 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Seien m′, σ′ beliebige feste Werte
Sign(sk ,m) : sk = (sk ′, τH)
rF ← R, r ′H ← R
h := chH(m′‖σ′, r ′H)m̃ := chF (h, rF )σ̃← Sign′(sk ′, m̃)
rH ← TrapCollCH(τH ,m′‖σ′, r ′H ,m‖σ̃)σ := (σ̃, rF , rH)
Vfy(pk ,m, σ): pk = (pk ′, chF , chH), σ = (σ̃, rF , rH)h := chH(m‖σ̃, rH)m̃ := chF (h, rF )
Vfy′(pk ′, m̃, σ̃)?= 1
![Page 17: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/17.jpg)
CH + EUF-CMA→ sEUF-CMA (Skript)
11 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Seien m′, σ′ beliebige feste Werte
Sign(sk ,m) : sk = (sk ′, τH)
rF ← R, r ′H ← Rh := chH(m′‖σ′, r ′H)m̃ := chF (h, rF )
σ̃← Sign′(sk ′, m̃)
rH ← TrapCollCH(τH ,m′‖σ′, r ′H ,m‖σ̃)σ := (σ̃, rF , rH)
Vfy(pk ,m, σ): pk = (pk ′, chF , chH), σ = (σ̃, rF , rH)h := chH(m‖σ̃, rH)m̃ := chF (h, rF )
Vfy′(pk ′, m̃, σ̃)?= 1
![Page 18: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/18.jpg)
CH + EUF-CMA→ sEUF-CMA (Skript)
11 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Seien m′, σ′ beliebige feste Werte
Sign(sk ,m) : sk = (sk ′, τH)
rF ← R, r ′H ← Rh := chH(m′‖σ′, r ′H)m̃ := chF (h, rF )σ̃← Sign′(sk ′, m̃)
rH ← TrapCollCH(τH ,m′‖σ′, r ′H ,m‖σ̃)σ := (σ̃, rF , rH)
Vfy(pk ,m, σ): pk = (pk ′, chF , chH), σ = (σ̃, rF , rH)h := chH(m‖σ̃, rH)m̃ := chF (h, rF )
Vfy′(pk ′, m̃, σ̃)?= 1
![Page 19: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/19.jpg)
CH + EUF-CMA→ sEUF-CMA (Skript)
11 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Seien m′, σ′ beliebige feste Werte
Sign(sk ,m) : sk = (sk ′, τH)
rF ← R, r ′H ← Rh := chH(m′‖σ′, r ′H)m̃ := chF (h, rF )σ̃← Sign′(sk ′, m̃)
rH ← TrapCollCH(τH ,m′‖σ′, r ′H ,m‖σ̃)
σ := (σ̃, rF , rH)
Vfy(pk ,m, σ): pk = (pk ′, chF , chH), σ = (σ̃, rF , rH)h := chH(m‖σ̃, rH)m̃ := chF (h, rF )
Vfy′(pk ′, m̃, σ̃)?= 1
![Page 20: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/20.jpg)
CH + EUF-CMA→ sEUF-CMA (Skript)
11 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Seien m′, σ′ beliebige feste Werte
Sign(sk ,m) : sk = (sk ′, τH)
rF ← R, r ′H ← Rh := chH(m′‖σ′, r ′H)m̃ := chF (h, rF )σ̃← Sign′(sk ′, m̃)
rH ← TrapCollCH(τH ,m′‖σ′, r ′H ,m‖σ̃)σ := (σ̃, rF , rH)
Vfy(pk ,m, σ): pk = (pk ′, chF , chH), σ = (σ̃, rF , rH)h := chH(m‖σ̃, rH)m̃ := chF (h, rF )
Vfy′(pk ′, m̃, σ̃)?= 1
![Page 21: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/21.jpg)
CH + EUF-CMA→ sEUF-CMA (Skript)
11 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Seien m′, σ′ beliebige feste Werte
Sign(sk ,m) : sk = (sk ′, τH)
rF ← R, r ′H ← Rh := chH(m′‖σ′, r ′H)m̃ := chF (h, rF )σ̃← Sign′(sk ′, m̃)
rH ← TrapCollCH(τH ,m′‖σ′, r ′H ,m‖σ̃)σ := (σ̃, rF , rH)
Vfy(pk ,m, σ): pk = (pk ′, chF , chH), σ = (σ̃, rF , rH)h := chH(m‖σ̃, rH)m̃ := chF (h, rF )
Vfy′(pk ′, m̃, σ̃)?= 1
![Page 22: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/22.jpg)
CH + EUF-CMA→ sEUF-CMA (Skript)
12 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Theorem:Σ ist sEUF-CMA-sicher, wenn CH kollisionsresistent und Σ′
EUF-CMA-sicher ist.
Beweisidee: Siehe TafelAnm.: Konstruktion mit Sicherheitsbeweis findet sich in [SPW07]
(Konstruktion im Skript leicht anders!)
![Page 23: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/23.jpg)
Transformationen: Übersicht (Skript)
13 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
EUF-naCMA EUF-1-naCMA
EUF-CMA
CH
sEUF-CMA
SUF-naCMAdieses Jahrnicht be-sprochen
![Page 24: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/24.jpg)
Transformationen: Übersicht (Skript)
13 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
EUF-naCMA EUF-1-naCMA
EUF-CMA
CH
sEUF-CMA
SUF-naCMAdieses Jahrnicht be-sprochen
![Page 25: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/25.jpg)
Transformationen: Übersicht (Skript)
13 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
EUF-naCMA EUF-1-naCMA
EUF-CMA
CH
sEUF-CMA
SUF-naCMAdieses Jahrnicht be-sprochen
![Page 26: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/26.jpg)
Transformationen: Übersicht (Skript)
13 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
EUF-naCMA EUF-1-naCMA
EUF-CMA
CH
sEUF-CMA
SUF-naCMAdieses Jahrnicht be-sprochen
![Page 27: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/27.jpg)
Transformationen: Übersicht (Skript)
13 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
EUF-naCMA EUF-1-naCMA
EUF-CMA
CH
sEUF-CMA
SUF-naCMAdieses Jahrnicht be-sprochen
![Page 28: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/28.jpg)
Pairings
14 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Definition 78 (Pairings):Seien G1,G2,GT zyklische Gruppen mit Ordnung p prim. Ein Pairing(bilineare Abbildung) ist eine Abbildung
e : G1 ×G2 → GT
mit den Eigenschaften:
1) Bilinearität: ∀g1,g′1 ∈ G1,g2,g′2 ∈ G2 :
e(g1 · g′1,g2) = e(g1,g2) · e(g′1,g2)
e(g1,g2 · g′2) = e(g1,g2) · e(g1,g′2)
⇒ e(ga1 ,g2) = e(g1,g2)
a = e(g1,ga2)
Ermöglicht eine Multiplikation im Exponenten.
![Page 29: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/29.jpg)
Pairings
14 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Definition 78 (Pairings):Seien G1,G2,GT zyklische Gruppen mit Ordnung p prim. Ein Pairing(bilineare Abbildung) ist eine Abbildung
e : G1 ×G2 → GT
mit den Eigenschaften:1) Bilinearität: ∀g1,g′1 ∈ G1,g2,g′2 ∈ G2 :
e(g1 · g′1,g2) = e(g1,g2) · e(g′1,g2)
e(g1,g2 · g′2) = e(g1,g2) · e(g1,g′2)
⇒ e(ga1 ,g2) = e(g1,g2)
a = e(g1,ga2)
Ermöglicht eine Multiplikation im Exponenten.
![Page 30: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/30.jpg)
Pairings
14 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Definition 78 (Pairings):Seien G1,G2,GT zyklische Gruppen mit Ordnung p prim. Ein Pairing(bilineare Abbildung) ist eine Abbildung
e : G1 ×G2 → GT
mit den Eigenschaften:1) Bilinearität: ∀g1,g′1 ∈ G1,g2,g′2 ∈ G2 :
e(g1 · g′1,g2) = e(g1,g2) · e(g′1,g2)
e(g1,g2 · g′2) = e(g1,g2) · e(g1,g′2)
⇒ e(ga1 ,g2) = e(g1,g2)
a = e(g1,ga2)
Ermöglicht eine Multiplikation im Exponenten.
![Page 31: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/31.jpg)
Pairings
15 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
2) Nicht-Ausgeartetheit (engl. non-degenerate, auchNicht-Degeneriertheit)Für Erzeuger g1 ∈ G1,g2 ∈ G2 gilt:
e(g1,g2) ist Erzeuger von GT
(|GT |prim⇐⇒ e(g1,g2) 6= 1
)
3) Effiziente Berechenbarkeit
Anm.: Es gibt auch Pairings mit Gruppen ohne Primordnung! (spielen indieser VL keine Rolle)
![Page 32: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/32.jpg)
Pairings
15 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
2) Nicht-Ausgeartetheit (engl. non-degenerate, auchNicht-Degeneriertheit)Für Erzeuger g1 ∈ G1,g2 ∈ G2 gilt:
e(g1,g2) ist Erzeuger von GT
(|GT |prim⇐⇒ e(g1,g2) 6= 1
)
3) Effiziente Berechenbarkeit
Anm.: Es gibt auch Pairings mit Gruppen ohne Primordnung! (spielen indieser VL keine Rolle)
![Page 33: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/33.jpg)
Pairings
15 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
2) Nicht-Ausgeartetheit (engl. non-degenerate, auchNicht-Degeneriertheit)Für Erzeuger g1 ∈ G1,g2 ∈ G2 gilt:
e(g1,g2) ist Erzeuger von GT
(|GT |prim⇐⇒ e(g1,g2) 6= 1
)
3) Effiziente Berechenbarkeit
Anm.: Es gibt auch Pairings mit Gruppen ohne Primordnung! (spielen indieser VL keine Rolle)
![Page 34: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/34.jpg)
Pairing: Anmerkungen
16 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
G1,G2 in der Regel elliptische Kurven („Ursprungsgruppen“)GT ⊆ FQ („Target-Gruppe“)
Ursprüngliche Anwendung:KryptoanalyseBsp: Ist Dlog in GT einfacher als in Gi , kann e helfen, den Dlog zuberechnen
gegeben gx , finde xberechne e(gx ,g) = e(g,g)x und dann Dlog von e(g,g)x
Manche Annahmen (wie DDH) gelten in solchen(Ursprungs-)Gruppen nicht!
![Page 35: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/35.jpg)
Pairing: Anmerkungen
16 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
G1,G2 in der Regel elliptische Kurven („Ursprungsgruppen“)GT ⊆ FQ („Target-Gruppe“)
Ursprüngliche Anwendung:KryptoanalyseBsp: Ist Dlog in GT einfacher als in Gi , kann e helfen, den Dlog zuberechnen
gegeben gx , finde xberechne e(gx ,g) = e(g,g)x und dann Dlog von e(g,g)x
Manche Annahmen (wie DDH) gelten in solchen(Ursprungs-)Gruppen nicht!
![Page 36: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/36.jpg)
Typen von Pairings
17 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Typ 1: G1 = G2, „symmetrisches Pairing“ e : G×G→ GT
Typ 2: G1 6= G2, „asymmetrisches Pairing“Es existiert effizienter, nicht-trivialer Homomorphismus
ψ : G2 → G1
Typ 3: G1 6= G2, „asymmetrisches Pairing“Es existiert kein effizienter, nicht-trivialer Homomorphismus
ψ : G2 → G1
Anm: In der VL betrachten wir hauptsächlich „symmetrische Pairings“!
![Page 37: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/37.jpg)
Typen von Pairings
17 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Typ 1: G1 = G2, „symmetrisches Pairing“ e : G×G→ GT
Typ 2: G1 6= G2, „asymmetrisches Pairing“Es existiert effizienter, nicht-trivialer Homomorphismus
ψ : G2 → G1
Typ 3: G1 6= G2, „asymmetrisches Pairing“Es existiert kein effizienter, nicht-trivialer Homomorphismus
ψ : G2 → G1
Anm: In der VL betrachten wir hauptsächlich „symmetrische Pairings“!
![Page 38: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/38.jpg)
Typen von Pairings
17 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Typ 1: G1 = G2, „symmetrisches Pairing“ e : G×G→ GT
Typ 2: G1 6= G2, „asymmetrisches Pairing“Es existiert effizienter, nicht-trivialer Homomorphismus
ψ : G2 → G1
Typ 3: G1 6= G2, „asymmetrisches Pairing“Es existiert kein effizienter, nicht-trivialer Homomorphismus
ψ : G2 → G1
Anm: In der VL betrachten wir hauptsächlich „symmetrische Pairings“!
![Page 39: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/39.jpg)
Typen von Pairings
17 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Typ 1: G1 = G2, „symmetrisches Pairing“ e : G×G→ GT
Typ 2: G1 6= G2, „asymmetrisches Pairing“Es existiert effizienter, nicht-trivialer Homomorphismus
ψ : G2 → G1
Typ 3: G1 6= G2, „asymmetrisches Pairing“Es existiert kein effizienter, nicht-trivialer Homomorphismus
ψ : G2 → G1
Anm: In der VL betrachten wir hauptsächlich „symmetrische Pairings“!
![Page 40: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/40.jpg)
Pairings: Forschung
18 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Pairings bereits „sehr mächtig“Multi-lineare Abbildung wären ein sehr starkes Werkzeug!Man kannte bis vor wenigen Jahren keine Kandidaten für solche Abb.2012: Garg, Gentry, Halevi „Candidate Multilineaer Maps from IdealLattices and Applications“ [GGH12]Seitdem viele Kandidaten, Angriffe, Konstruktionen die multilineareAbb. verwenden. . .Sehr turbulentes Forschungsfeld!
![Page 41: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/41.jpg)
Joux’s 3-Parteien Schlüsselaustausch
19 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
Grundprinzip wie beim Diffie-Hellman-Schlüsselaustausch für 2Parteien3 Parteien A, B, CEinfaches Anwendungsbeispiel für Pairingse : G×G→ GT , g Erzeuger von G, |G| = |GT | = p prim.
![Page 42: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/42.jpg)
Joux’s 3-Parteien Schlüsselaustausch
20 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
A
B C
a← Zp
b ← Zp c ← Zp
ga g a
ga ga
gb
gb
gb
ga,gbg c
gc
gb,gc
ga,gc
k = e(gb,gc)a = e(g,g)abc
k = e(ga,gc)b = e(g,g)abc k = e(ga,gb)c = e(g,g)abc
Gemeinsamer Schlüssel ist k = e(g,g)abc
Nachrichtenaustausch muss nicht nacheinander sein!(über multilineare Abb. auf größere Anzahl Parteien erweiterbar)
![Page 43: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/43.jpg)
Joux’s 3-Parteien Schlüsselaustausch
20 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
A
B C
a← Zp
b ← Zp c ← Zp
ga g a
ga ga
gb
gb
gb
ga,gbg c
gc
gb,gc
ga,gc
k = e(gb,gc)a = e(g,g)abc
k = e(ga,gc)b = e(g,g)abc k = e(ga,gb)c = e(g,g)abc
Gemeinsamer Schlüssel ist k = e(g,g)abc
Nachrichtenaustausch muss nicht nacheinander sein!(über multilineare Abb. auf größere Anzahl Parteien erweiterbar)
![Page 44: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/44.jpg)
Joux’s 3-Parteien Schlüsselaustausch
20 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
A
B C
a← Zp
b ← Zp c ← Zpg
a g a
ga ga
gb
gb
gb
ga,gbg c
gc
gb,gc
ga,gc
k = e(gb,gc)a = e(g,g)abc
k = e(ga,gc)b = e(g,g)abc k = e(ga,gb)c = e(g,g)abc
Gemeinsamer Schlüssel ist k = e(g,g)abc
Nachrichtenaustausch muss nicht nacheinander sein!(über multilineare Abb. auf größere Anzahl Parteien erweiterbar)
![Page 45: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/45.jpg)
Joux’s 3-Parteien Schlüsselaustausch
20 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
A
B C
a← Zp
b ← Zp c ← Zp
ga g a
ga
ga
gb
gb
gb
ga,gb
g cgc
gb,gc
ga,gc
k = e(gb,gc)a = e(g,g)abc
k = e(ga,gc)b = e(g,g)abc k = e(ga,gb)c = e(g,g)abc
Gemeinsamer Schlüssel ist k = e(g,g)abc
Nachrichtenaustausch muss nicht nacheinander sein!(über multilineare Abb. auf größere Anzahl Parteien erweiterbar)
![Page 46: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/46.jpg)
Joux’s 3-Parteien Schlüsselaustausch
20 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
A
B C
a← Zp
b ← Zp c ← Zp
ga g a
ga ga
gb
gb
gb
ga,gbg c
gc
gb,gc
ga,gc
k = e(gb,gc)a = e(g,g)abc
k = e(ga,gc)b = e(g,g)abc k = e(ga,gb)c = e(g,g)abc
Gemeinsamer Schlüssel ist k = e(g,g)abc
Nachrichtenaustausch muss nicht nacheinander sein!(über multilineare Abb. auf größere Anzahl Parteien erweiterbar)
![Page 47: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/47.jpg)
Joux’s 3-Parteien Schlüsselaustausch
20 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
A
B C
a← Zp
b ← Zp c ← Zp
ga g a
ga ga
gb
gb
gb
ga,gb
g cgc
gb,gc
ga,gc
k = e(gb,gc)a = e(g,g)abc
k = e(ga,gc)b = e(g,g)abc k = e(ga,gb)c = e(g,g)abc
Gemeinsamer Schlüssel ist k = e(g,g)abc
Nachrichtenaustausch muss nicht nacheinander sein!(über multilineare Abb. auf größere Anzahl Parteien erweiterbar)
![Page 48: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/48.jpg)
Joux’s 3-Parteien Schlüsselaustausch
20 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
A
B C
a← Zp
b ← Zp c ← Zp
ga g a
ga ga
gb
gb
gb
ga,gb
g cgc
gb,gc
ga,gc
k = e(gb,gc)a = e(g,g)abc
k = e(ga,gc)b = e(g,g)abc k = e(ga,gb)c = e(g,g)abc
Gemeinsamer Schlüssel ist k = e(g,g)abc
Nachrichtenaustausch muss nicht nacheinander sein!(über multilineare Abb. auf größere Anzahl Parteien erweiterbar)
![Page 49: Digitale Signaturen - sEUF-CMA & Pairings | Dennis …...CH-Fkt. sind Einmalsignaturen 2 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings Bislang: Konstruktion von](https://reader033.vdocuments.mx/reader033/viewer/2022042210/5eaea9ec6c5b090ebf745ce7/html5/thumbnails/49.jpg)
References I
21 2019-06-26 D. Hofheinz – Digitale Signaturen: sEUF-CMA & Pairings
S. Garg, C. Gentry, and S. Halevi. “Candidate MultilinearMaps from Ideal Lattices and Applications”. In: IACRCryptology ePrint Archive 2012 (2012), p. 610. URL:http://eprint.iacr.org/2012/610.
R. Steinfeld, J. Pieprzyk, and H. Wang. “How to StrengthenAny Weakly Unforgeable Signature into a StronglyUnforgeable Signature”. In: Topics in Cryptology - CT-RSA2007, The Cryptographers’ Track at the RSA Conference2007, San Francisco, CA, USA, February 5-9, 2007,Proceedings. 2007, pp. 357–371. DOI: 10.1007/11967668_23.URL: http://dx.doi.org/10.1007/11967668_23.