Das RSA-Schwellwertsignaturschema E-Book

Masterarbeit aus dem Jahr 2018 im Fachbereich Mathematik - Algebra, FernUniversität Hagen, Sprache: Deutsch, Abstract: Wir haben in dieser Arbeit Secret-Sharing-Systeme eingeführt und als Spezialfall davon Schwellwertkryptosysteme betrachtet, die durch eine besondere Zugriffsstruktur ausgezeichnet sind, die sich in der Anwendung bewährt hat. Es handelt sich hierbei um Schwellwertzugriffsstrukturen, diese sind stets monoton. Schwellwertsysteme zur Erzeugung von digitalen Signaturen nennt man Schwellwertsignaturschemata. Diese können auf ein bestimmtes asymmetrisches Kryptosystem beruhen, beispielsweise RSA, ElGamal, Paillier oder andere. In der vorliegen Arbeit haben wir das von Shoup beschriebene RSA-(k, l)−Schwellwertsignaturschema untersucht und seine Konstruktion konkretisiert und analysiert. Der Schwellwert k gibt sowohl die mindestens benötigte Anzahl der von den insgesamt l Spielern Beteiligten an, um eine gültige Signatur zu erzeugen. Gleichzeitig ist durch k−1 die maximale Anzahl möglicherweise von einem Angreifer kompromittierter Teilnehmer angegeben, damit das System sicher bleibt. Es sind daher insgesamt k−t ehrliche Spieler nötig, um eine sichere Signatur zu erstellen, t seien dabei die kompromittierten Spieler. Es handelt sich bei dem beschriebenen Verfahren um ein RSA-Schwellwertsignaturschema, sowohl der öffentliche Schlüssel als auch der Verifikationsalgorithmus sind vom gleichen Format wie beim normalen RSA-Signaturverfahren. Lediglich kleine unterschiedliche Voraussetzungen an den Verschlüsselungsexponenten e und den RSA-Modulus n sind vorhanden. So muss etwa e > l eine Primzahl sein und n Produkt zweier Sophie- Germain-Primzahlen. Wir haben im Hauptteil die Protokolle zu den Fällen k = t+1 sowie k >t+1 angegeben und deren Sicherheit bewiesen. Ein sicheres Schwellwertsignaturschema muss robust und fälschungssicher sein. In den Sicherheitsbeweisen mussten wir teilweise ein Random-Oracle-Modell verwenden, teilweise mussten wir bestimmte Annahmen voraussetzen. Im zweiten, allgemeineren Fall, konnte die Notation durch Elimination einer Variablen vereinfacht werden. Auch ist dieses Protokoll effizienter und stellt dadurch auch für den Spezialfall k = t + 1 eine gute Alternative dar. Dennoch ist der Beweis der Fälschungssicherheit aufwendiger zu führen.