Digitale Signaturen - sEUF-CMA & Pairings | Björn Kaidel · 0 2018-01-19 B. Kaidel – Digitale...

0 2018-01-19 B. Kaidel – Digitale Signaturen: sEUF-CMA & Pairings

FAKULTÄT FÜR INFORMATIK, INSTITUT FÜR THEORETISCHE INFORMATIK

Digitale SignaturensEUF-CMA & Pairings | Björn Kaidel

KIT – Die Forschungsuniversität in der Helmholtz-Gemeinschaft www.kit.edu

Socrative: Wiederholung


https://b.socrative.com/login/student/Room: SIGNATUREN

Def. von Kollision bei CH?Ist der EUF-CMA-Begriff für Chamäleon-Signaturen identisch zu demnormaler Signaturen?Verstärkung von EUF-CMA?

https://b.socrative.com/login/student/

Socrative-Fragen vom letzten Mal


„Wird es eine Zusammenfassungsvorlesung geben?“Ist geplant!

„Wo finde ich online die Socrative-Fragen?“Auf der Vorlesungswebsitehttps://crypto.iti.kit.edu/index.php?id=829

https://crypto.iti.kit.edu/index.php?id=829

Inhalt


CH-Fkt. sind Einmalsignaturen (Kap. 3.5)

sEUF-CMA durch Chamäleon-Hashing (Kap. 3.6)

Pairing-basierte Signaturen (Kap. 5)

CH-Fkt. sind Einmalsignaturen


Bislang: Konstruktion von CH-Fkt. ähnlich zu EinmalsignaturenJetzt: Transformationen von CH-Fkt. zu Einmalsignatur.

Transformation CH zu Einmalsignatur


CH-Fkt. CH = (GenCH,TrapCollCH)

Konstruiere Σ = (Gen, Sign,Vfy):

Gen(1k ) :(ch, τ)← Gench(1k )

(m̃, r̃ )←M×Rc := ch(m̃, r̃ )pk := (ch, c), sk := (τ, m̃, r̃ )

Transformation CH zu Einmalsignatur


pk := (ch, c), sk := (τ, m̃, r̃ )

Sign(sk ,m) :r := TrapCollCH(τ, m̃, r̃ ,m)

σ := r

Vfy(pk ,m, σ) :

c ?= ch(m, σ)

Transformation: Sicherheit


Theorem 47:Σ ist EUF-1-naCMA-sicher, wenn CH kollisionsresistent ist.

(ohne Beweis)

Anm: Wendet man die Transformation auf die DLog-/RSA-CH-Fkt. an,so erhält man die DLog-/RSA-Einmalsignatur aus Kap. 2.3.

Transformation: Sicherheit


Theorem 47:Σ ist EUF-1-naCMA-sicher, wenn CH kollisionsresistent ist.

(ohne Beweis)

Anm: Wendet man die Transformation auf die DLog-/RSA-CH-Fkt. an,so erhält man die DLog-/RSA-Einmalsignatur aus Kap. 2.3.

EUF-CMA - Verstärken?


CEUF-CMA A

(pk , sk)← Gen(1k ) pk

mi

σi

Anfragen nacheinanderq = q(k) Anfragenq Polynom

m∗ , σ∗

Ver (pk ,m∗, σ∗) = 1?∧

m∗ /∈ {m1, . . . ,mq}?

A gewinnt, falls Vfy(pk ,m∗, σ∗) = 1 und m∗ /∈ {m1, ...,mq}

Frage: Stärkerer Sicherheitsbegriff als EUF-CMA?

sEUF-CMA - Sicherheitsexperiment


CsEUF-CMA A

(pk , sk)← Gen(1k ) pk

mi

σi

Anfragen nacheinanderq = q(k) Anfragenq Polynom

m∗ , σ∗

Ver (pk ,m∗, σ∗) = 1?∧

(m∗, σ∗) /∈ {(m1, σ1) . . . , (mq , σq)}?

A gewinnt, falls Vfy(pk ,m∗, σ∗) = 1 und(m∗, σ∗) /∈ {(m1, σ1) . . . , (mq , σq)}

Definition: sEUF-CMA


Def. 51: (sEUF-CMA)Ein digitales Signaturverfahren Σ = (Gen, Sign,Vfy) istsEUF-CMA-sicher , falls für alle PPT A gilt, dass

Pr[ACsEUF-CMA(pk) = (m∗, σ∗) : Vfy(pk ,m∗, σ∗) = 1∧

(m∗, σ∗) /∈ {(m1, σ1), ..., (mq , σq)}

]im Sicherheitsparameter k vernachlässigbar ist.

sEUF-CMA: Anwendungen


A kann nun auch gewinnen, wenn zu m∗ eine Signaturanfragegesendet hat...... dann muss σ∗ aber neu sein

Hauptsächlich als Baustein für komplexe Krypto-AnwendungenBeispielsweise um IND-CCA2-sichere PKE zu konstruieren

CH + EUF-CMA→ sEUF-CMA (Skript)


EUF-CMA Σ′ = (Gen′, Sign′,Vfy′)CH-Fkt. CH = (GenCH,TrapCollCH)

Konstruiere sEUF-CMA-sicheres Σ = (Gen, Sign,Vfy).

Seien m′, σ′ zufällige Werte, aber fest Gen(1k ) :(pk ′, sk ′)← Gen′(1k )

(chF , τF )← GenCH(1k )

(chH , τH)← GenCH(1k )

pk = (pk ′, chF , chH)

sk = (sk ′, τH)









sk = (sk ′, τH)









sk = (sk ′, τH)









sk = (sk ′, τH)



Seien m′, σ′ zufällige Werte, aber fest

Sign(sk ,m) : sk = (sk ′, τH)

rF ← R, r ′H ← R

h := chH(m′‖σ′, r ′H)m̃ := chF (h, rF )σ̃← Sign′(sk ′, m̃)

rH ← TrapCollCH(τH ,m′‖σ′, r ′H ,m‖σ̃)σ := (σ̃, rF , rH)

Vfy(pk ,m, σ): pk = (pk ′, chF , chH), σ = (σ̃, rF , rH)h := chH(m‖σ̃, rH)m̃ := chF (h, rF )

Vfy′(pk ′, m̃, σ̃)?= 1





rF ← R, r ′H ← Rh := chH(m′‖σ′, r ′H)m̃ := chF (h, rF )

σ̃← Sign′(sk ′, m̃)



Vfy′(pk ′, m̃, σ̃)?= 1





rF ← R, r ′H ← Rh := chH(m′‖σ′, r ′H)m̃ := chF (h, rF )σ̃← Sign′(sk ′, m̃)



Vfy′(pk ′, m̃, σ̃)?= 1






rH ← TrapCollCH(τH ,m′‖σ′, r ′H ,m‖σ̃)

σ := (σ̃, rF , rH)


Vfy′(pk ′, m̃, σ̃)?= 1








Vfy′(pk ′, m̃, σ̃)?= 1








Vfy′(pk ′, m̃, σ̃)?= 1



Theorem:Σ ist sEUF-CMA-sicher, wenn CH kollisionsresistent und Σ′

EUF-CMA-sicher ist.

Beweisidee: Siehe TafelAnm.: Konstruktion mit Sicherheitsbeweis findet sich in [SPW07]

(Konstruktion im Skript leicht anders!)

Transformationen: Übersicht (Skript)


EUF-naCMA EUF-1-naCMA

EUF-CMA

CH

sEUF-CMA

SUF-naCMAdieses Jahrnicht be-sprochen




EUF-CMA

CH

sEUF-CMA





EUF-CMA

CH

sEUF-CMA





EUF-CMA

CH

sEUF-CMA





EUF-CMA

CH

sEUF-CMA


Socrative: sEUF-CMA



Zusammenhang CH-Hashing & Einmalsignaturen?Ist jede EUF-CMA-sichere und deterministische SignatursEUF-CMA-sicher?Wie unterscheiden sich EUF-CMA und sEUF-CMA?Welche Transformationen wurden in der VL besprochen?


Pairings


Definition 78 (Pairings):Seien G1,G2,GT zyklische Gruppen mit Ordnung p prim. Ein Pairing(bilineare Abbildung) ist eine Abbildung

e : G1 ×G2 → GT

mit den Eigenschaften:

1) Bilinearität: ∀g1,g′1 ∈ G1,g2,g′2 ∈ G2 :

e(g1 · g′1,g2) = e(g1,g2) · e(g′1,g2)

e(g1,g2 · g′2) = e(g1,g2) · e(g1,g′2)

⇒ e(ga1 ,g2) = e(g1,g2)

a = e(g1,ga2)

Ermöglicht eine Multiplikation im Exponenten.

Pairings



e : G1 ×G2 → GT

mit den Eigenschaften:1) Bilinearität: ∀g1,g′1 ∈ G1,g2,g′2 ∈ G2 :

e(g1 · g′1,g2) = e(g1,g2) · e(g′1,g2)

e(g1,g2 · g′2) = e(g1,g2) · e(g1,g′2)

⇒ e(ga1 ,g2) = e(g1,g2)

a = e(g1,ga2)


Pairings



e : G1 ×G2 → GT

mit den Eigenschaften:1) Bilinearität: ∀g1,g′1 ∈ G1,g2,g′2 ∈ G2 :

e(g1 · g′1,g2) = e(g1,g2) · e(g′1,g2)

e(g1,g2 · g′2) = e(g1,g2) · e(g1,g′2)

⇒ e(ga1 ,g2) = e(g1,g2)

a = e(g1,ga2)


Pairings


2) Nicht-Ausgeartetheit (engl. non-degenerate, auchNicht-Degeneriertheit)Für Erzeuger g1 ∈ G1,g2 ∈ G2 gilt:

e(g1,g2) ist Erzeuger von GT

(|GT |prim⇐⇒ e(g1,g2) 6= 1

)

3) Effiziente Berechenbarkeit

Anm.: Es gibt auch Pairings mit Gruppen ohne Primordnung! (spielen indieser VL keine Rolle)

Pairings




(|GT |prim⇐⇒ e(g1,g2) 6= 1

)



Pairings




(|GT |prim⇐⇒ e(g1,g2) 6= 1

)



Pairing: Anmerkungen


G1,G2 in der Regel elliptische Kurven („Ursprungsgruppen“)GT ⊆ FQ („Target-Gruppe“)

Ursprüngliche Anwendung:KryptoanalyseBsp: Ist Dlog in GT einfacher als in Gi , kann e helfen, den Dlog zuberechnen

gx , x gesuchtberechne e(gx ,g) = e(g,g)x und dann Dlog von e(g,g)x

Manche Annahmen (wie DDH) gelten in solchen Gruppen nicht!

Pairing: Anmerkungen


G1,G2 in der Regel elliptische Kurven („Ursprungsgruppen“)GT ⊆ FQ („Target-Gruppe“)

Ursprüngliche Anwendung:KryptoanalyseBsp: Ist Dlog in GT einfacher als in Gi , kann e helfen, den Dlog zuberechnen

gx , x gesuchtberechne e(gx ,g) = e(g,g)x und dann Dlog von e(g,g)x

Manche Annahmen (wie DDH) gelten in solchen Gruppen nicht!

Typen von Pairings


Typ 1: G1 = G2, „symmetrisches Pairing“ e : G×G→ GT

Typ 2: G1 6= G2, „asymmetrisches Pairing“Es existiert effizienter, nicht-trivialer Homomorphismus

ψ : G2 → G1

Typ 3: G1 6= G2, „asymmetrisches Pairing“Es existiert kein effizienter, nicht-trivialer Homomorphismus

ψ : G2 → G1

Anm: In der VL betrachten wir hauptsächlich „symmetrische Pairings“!

Typen von Pairings




ψ : G2 → G1


ψ : G2 → G1


Typen von Pairings




ψ : G2 → G1


ψ : G2 → G1


Typen von Pairings




ψ : G2 → G1


ψ : G2 → G1


Pairings: Forschung


Pairings bereits „sehr mächtig“Multi-lineare Abbildung wären ein sehr starkes Werkzeug!Man kannte bis vor wenigen Jahren keine Kandidaten für solche Abb.2012: Garg, Gentry, Halevi „Candidate Multilineaer Maps from IdealLattices and Applications“ [GGH12]Seitdem viele Kandidaten, Angriffe, Konstruktionen die multilineareAbb. verwenden...Sehr turbulentes Forschungsfeld!

Joux’s 3-Parteien Schlüsselaustausch


Grundprinzip wie beim Diffie-Hellman-Schlüsselaustausch für 2Parteien3 Parteien A, B, CEinfaches Anwendungsbeispiel für Pairingse : G×G→ GT , g Erzeuger von G, |G| = |GT | = p prim.



A

B C

a← Zp

b ← Zp c ← Zp

ga g a

ga ga

gb

gb

gb

ga,gbg c

gc

gb,gc

ga,gc

k = e(gb,gc)a = e(g,g)abc

k = e(ga,gc)b = e(g,g)abc k = e(ga,gb)c = e(g,g)abc

Gemeinsamer Schlüssel ist k = e(g,g)abc

Nachrichtenaustausch muss nicht nacheinander sein!(über multilineare Abb. auf größere Anzahl Parteien erweiterbar)



A

B C

a← Zp

b ← Zp c ← Zp

ga g a

ga ga

gb

gb

gb

ga,gbg c

gc

gb,gc

ga,gc







A

B C

a← Zp

b ← Zp c ← Zpg

a g a

ga ga

gb

gb

gb

ga,gbg c

gc

gb,gc

ga,gc







A

B C

a← Zp

b ← Zp c ← Zp

ga g a

ga

ga

gb

gb

gb

ga,gb

g cgc

gb,gc

ga,gc







A

B C

a← Zp

b ← Zp c ← Zp

ga g a

ga ga

gb

gb

gb

ga,gbg c

gc

gb,gc

ga,gc







A

B C

a← Zp

b ← Zp c ← Zp

ga g a

ga ga

gb

gb

gb

ga,gb

g cgc

gb,gc

ga,gc







A

B C

a← Zp

b ← Zp c ← Zp

ga g a

ga ga

gb

gb

gb

ga,gb

g cgc

gb,gc

ga,gc





Socrative: Pairings



Was impliziert die Bilinearität von Pairings?Wieviele Parteien können an Joux’s Schlüsselaustausch teilnehmen?Müssen in Joux’s Schlüsselaustausch die Nachrichten nacheinanderverschickt werden?


References I


S. Garg, C. Gentry, and S. Halevi. “Candidate MultilinearMaps from Ideal Lattices and Applications”. In: IACRCryptology ePrint Archive 2012 (2012), p. 610. URL:http://eprint.iacr.org/2012/610.

R. Steinfeld, J. Pieprzyk, and H. Wang. “How to StrengthenAny Weakly Unforgeable Signature into a StronglyUnforgeable Signature”. In: Topics in Cryptology - CT-RSA2007, The Cryptographers’ Track at the RSA Conference2007, San Francisco, CA, USA, February 5-9, 2007,Proceedings. 2007, pp. 357–371. DOI: 10.1007/11967668_23.URL: http://dx.doi.org/10.1007/11967668_23.

http://eprint.iacr.org/2012/610

http://dx.doi.org/10.1007/11967668_23

http://dx.doi.org/10.1007/11967668_23

Date post:	10-Jun-2018
Category:	Documents
Upload:	vanlien
View:	214 times
Download:	0 times

Digitale Signaturen - sEUF-CMA & Pairings | Björn Kaidel · 0 2018-01-19 B. Kaidel – Digitale...

Documents