Wir haben in dieser Arbeit Secret-Sharing-Systeme eingeführt und als Spezialfall davon Schwellwertkryptosysteme betrachtet, die durch eine besondere Zugriffsstruktur ausgezeichnet sind, die sich in der Anwendung bewährt hat. Es handelt sich hierbei um Schwellwertzugriffsstrukturen, diese sind stets monoton.
Schwellwertsysteme zur Erzeugung von digitalen Signaturen nennt man Schwellwertsignaturschemata. Diese können auf ein bestimmtes asymmetrisches Kryptosystem beruhen, beispielsweise RSA, ElGamal, Paillier oder andere. In der vorliegen Arbeit haben wir das von Shoup beschriebene RSA-(k, l)−Schwellwertsignaturschema untersucht und seine Konstruktion konkretisiert und analysiert. Der Schwellwert k gibt sowohl die mindestens benötigte Anzahl der von den insgesamt l Spielern Beteiligten an, um eine gültige Signatur zu erzeugen. Gleichzeitig ist durch k−1 die maximale Anzahl möglicherweise von einem Angreifer kompromittierter Teilnehmer angegeben, damit das System sicher bleibt. Es sind daher insgesamt k−t ehrliche Spieler nötig, um eine sichere Signatur zu erstellen, t seien dabei die kompromittierten Spieler.
Es handelt sich bei dem beschriebenen Verfahren um ein RSA-Schwellwertsignaturschema, sowohl der öffentliche Schlüssel als auch der Verifikationsalgorithmus sind vom gleichen Format wie beim normalen RSA-Signaturverfahren. Lediglich kleine unterschiedliche Voraussetzungen an den Verschlüsselungsexponenten e und den RSA-Modulus n sind vorhanden. So muss etwa e > l eine Primzahl sein und n Produkt zweier Sophie- Germain-Primzahlen. Wir haben im Hauptteil die Protokolle zu den Fällen k = t+1 sowie k >t+1 angegeben und deren Sicherheit bewiesen. Ein sicheres Schwellwertsignaturschema muss robust und fälschungssicher sein. In den Sicherheitsbeweisen mussten wir teilweise ein Random-Oracle-Modell verwenden, teilweise mussten wir bestimmte Annahmen voraussetzen.
Im zweiten, allgemeineren Fall, konnte die Notation durch Elimination einer Variablen vereinfacht werden. Auch ist dieses Protokoll effizienter und stellt dadurch auch für den Spezialfall k = t + 1 eine gute Alternative dar. Dennoch ist der Beweis der Fälschungssicherheit aufwendiger zu führen.
Inhaltsverzeichnis
- Einleitung
- Mathematische Grundlagen
- Notationen
- Grundlagen der Algebra und Zahlentheorie
- Grundlagen der Kryptografie
- Schwellwertkryptosysteme
- Secret-Sharing-Verfahren.
- Schwellwertsignaturverfahren
- Das RSA-Schwellwertsignaturschema
- Das RSA-Signaturschema
- Das Protokoll zum Fall k = t + 1
- Ein Beispiel
- Sicherheitsbetrachtungen
- Grundlagen zur Sicherheit
- Sicherheit im Fall k = t + 1
- Der Fall k > t + 1
- Das Protokoll zum Fall k > t +1
- Ein Beispiel
- Sicherheit im Fall k > t +1
Zielsetzung und Themenschwerpunkte
Diese Arbeit untersucht das RSA-Schwellwertsignaturschema von Victor Shoup. Das Schema ermöglicht die sichere Erstellung digitaler Signaturen durch mehrere Parteien, ohne dass ein einzelner Teilnehmer über den gesamten geheimen Schlüssel verfügen muss.
- Mathematische Grundlagen von RSA und Schwellwertverfahren
- Konstruktion und Funktionsweise des RSA-Schwellwertsignaturschemas
- Sicherheitsanalysen und Beweise für die Robustheit des Schemas
- Anwendung des Schemas in verschiedenen Szenarien
- Vergleich des RSA-Schwellwertsignaturschemas mit anderen Schwellwertverfahren
Zusammenfassung der Kapitel
- Einleitung: Einführung in die Themengebiete der Kryptografie, des RSA-Kryptosystems und des Schwellwertsignaturschemas. Motivation und Zielsetzung der Arbeit werden erläutert.
- Mathematische Grundlagen: Vorstellung der wichtigsten mathematischen Konzepte, die für das Verständnis des RSA-Schwellwertsignaturschemas notwendig sind.
- Schwellwertkryptosysteme: Definition und Erklärung von Secret-Sharing-Verfahren und Schwellwertsignaturverfahren. Ein tieferer Einblick in Shamirs Secret-Sharing-Verfahren wird gegeben.
- Das RSA-Schwellwertsignaturschema: Beschreibung des RSA-Signaturschemas, des Protokolls für den Fall k = t + 1 und ein anschauliches Beispiel.
- Sicherheitsbetrachtungen: Grundlagen zur Sicherheit von Schwellwertsignaturschemata, Einführung in die RSA-Annahme und interaktive Beweissysteme.
- Der Fall k > t + 1: Erweiterung des Protokolls auf den Fall k > t + 1, ein weiteres Beispiel und eine Diskussion der Sicherheitsaspekte.
Schlüsselwörter
RSA-Kryptosystem, Schwellwertsignaturverfahren, digitale Signaturen, Kryptografie, Sicherheit, Shamirs Secret-Sharing, interaktive Beweissysteme, Random-Oracle-Modell, DDH-Annahme, Schwellwert, Sicherheitsparamter, Zugriffsstruktur, zulässige Konstellation
Häufig gestellte Fragen zum RSA-Schwellwertsignaturschema
Was ist ein Schwellwertsignaturschema?
Es ist ein Verfahren, bei dem eine digitale Signatur nur erzeugt werden kann, wenn eine Mindestanzahl (Schwellwert k) von Teilnehmern aus einer Gruppe (insgesamt l) kooperiert.
Worauf basiert das RSA-Schwellwertsignaturschema nach Shoup?
Es basiert auf dem klassischen RSA-Verfahren, nutzt jedoch Secret-Sharing-Methoden (wie die von Shamir), um den geheimen Schlüssel auf mehrere Parteien zu verteilen.
Warum ist dieses Schema sicherer als normales RSA?
Da der geheime Schlüssel nie an einem Ort vollständig existiert, muss ein Angreifer k-1 Teilnehmer kompromittieren, um das System zu gefährden, was die Sicherheit deutlich erhöht.
Welche mathematischen Voraussetzungen gibt es für den Modulus n?
Für eine sichere Implementierung muss der RSA-Modulus n das Produkt zweier Sophie-Germain-Primzahlen sein.
Was bedeutet Robustheit in diesem Zusammenhang?
Robustheit bedeutet, dass das System auch dann eine gültige Signatur erzeugen kann, wenn einige Teilnehmer versuchen, falsche Teil-Signaturen einzureichen.
- Arbeit zitieren
- Vanessa Buhrmester (Autor:in), 2018, Das RSA-Schwellwertsignaturschema, München, GRIN Verlag, https://www.grin.com/document/437019
