Schnorr ordning

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 2. september 2021; checks kræver 3 redigeringer .

Schnorr- ordningen er en af ​​de mest effektive og teoretisk baserede autentificeringsordninger .  Kredsløbets sikkerhed er baseret på vanskeligheden ved at beregne diskrete logaritmer . Ordningen foreslået af Klaus Schnorr er en modifikation af ordningerne ElGamal (1985) og Fiat-Shamir (1986) , men har en mindre signaturstørrelse. Schnorr-ordningen ligger til grund for standarden for Republikken Belarus STB 1176.2-99 og de sydkoreanske standarder KCDSA og EC-KCDSA. Det var dækket af US Patent 4.999.082 , som udløb i februar 2008.

Introduktion

Autentificering og elektroniske signaturordninger er en af ​​de vigtigste og mest almindelige typer kryptografiske protokoller, der sikrer informationens integritet.

Formålet med godkendelsesprotokoller kan let forstås af følgende eksempel. Antag, at vi har et informationssystem, hvor det er nødvendigt at differentiere adgangen til forskellige data. Også i dette system er der en administrator, som gemmer alle brugeridentifikatorer med et tilhørende sæt rettigheder, ved hjælp af hvilke adgangen til ressourcer differentieres. Én bruger kan samtidigt få lov til at læse én fil, ændre den anden og samtidig nægtes adgang til den tredje. I dette eksempel betyder sikring af informationens integritet at forhindre adgang til systemet af personer, der ikke er dets brugere, samt at forhindre brugere i at få adgang til de ressourcer, som de ikke har autoritet til. Den mest almindelige metode til adgangskontrol, adgangskodebeskyttelse , har mange ulemper, så lad os gå videre til den kryptografiske formulering af problemet.

Der er to deltagere i protokollen - Alice, som ønsker at bekræfte sin identitet, og Bob, som skal verificere denne bekræftelse. Alice har to nøgler , en offentlig (offentlig) nøgle og  en privat (privat) nøgle, som kun Alice kender. Faktisk skal Bob bekræfte, at Alice kender sin private nøgle ved kun at bruge .

Schnorr-ordningen er en af ​​de mest effektive blandt praktiske godkendelsesprotokoller, der implementerer denne opgave. Det minimerer afhængigheden af ​​den beregning, der kræves for at skabe en signatur på beskeden. I denne ordning kan de vigtigste beregninger udføres, mens processoren er inaktiv, hvilket giver dig mulighed for at øge underskrivelseshastigheden. Ligesom DSA bruger Schnorrs ordning en ordreundergruppe i . Denne metode bruger også en hash-funktion .

Nøglegenerering

Nøglegenerering for Schnorr-signaturskemaet er det samme som nøglegenerering for DSA , bortset fra at der ikke er nogen størrelsesbegrænsninger. Bemærk også, at modulet kan beregnes autonomt.

  1. Der vælges et primtal , som normalt er lig med bits i længden.
  2. Et andet primtal er valgt sådan, at det er en divisor af . Eller med andre ord, det skal gøres . Det er sædvanligt at vælge størrelsen for et tal svarende til bits.
  3. Vælg et andet tal fra , sådan at .
  4. Peggy vælger et tilfældigt heltal mindre end .
  5. Peggy beregner .
  6. Peggys offentlige nøgle er , Peggys private nøgle er .

Godkendelsesprotokol

Protokoloperationsalgoritme

  1. Forbehandling . Alice vælger et tilfældigt tal mindre end , og beregner . Disse beregninger er foreløbige og kan gøres længe før Bob ankommer.
  2. Indvielse. Alice sender til Bob.
  3. Bob vælger et tilfældigt tal fra til og sender det til Alice.
  4. Alice beregner og sender til Bob.
  5. Bekræftelse. Bob tjekker det

Algoritmens sikkerhed afhænger af parameteren t . Kompleksiteten ved at åbne algoritmen er omtrent lig med . Schnorr anbefaler at bruge t omkring 72 bit, til og . For at løse det diskrete logaritmeproblem, i dette tilfælde, kræves i det mindste trinene fra kendte algoritmer.

Eksempel

Nøglegenerering:

Godkendelse:

Angreb på det skematiske

Passiv fjende

Hvis vi i Schnorrs skema antager, at Alice er en modstander, så kan hun i trin 1 vælge på en tilfældig, men effektiv måde. Lad være  nummeret, som Alice har passeret. Lad os antage, at det er muligt at finde to tilfældige tal og sådan, at for hver af dem kan Alice finde den tilsvarende , og for hvilken bekræftelse vil give et positivt resultat. Vi får:

.

Herfra eller . Siden , Så eksisterer og derfor, , Det vil sige den diskrete logaritme af . Således er enten sådan, at Alice kan reagere passende på dem begge (givet det samme ) i trin 3 i protokollen, sjældent, hvilket betyder, at Alices angreb kun lykkes med en ubetydelig sandsynlighed. Eller sådanne værdier støder ofte på, og så kan den algoritme, som Alice bruger, bruges til at beregne diskrete logaritmer.

Med andre ord er det bevist, at under den antagelse, at det diskrete logaritmeproblem er vanskeligt, er Schnorr-autentificeringsskemaet modstandsdygtigt over for en passiv modstander, det vil sige korrekt.

Aktiv fjende

En aktiv modstander kan udføre et antal protokoludførelsessessioner som verifikator med en ærlig bevis (eller aflytte sådanne henrettelser) og derefter forsøge at angribe godkendelsesskemaet. For modstand mod en aktiv modstander er det tilstrækkeligt, at autentificeringsprotokollen er et nul-vidensbevis . Ingen har dog endnu kunne bevise nulviden-egenskaben for Schnorr-ordningen.

Digital signaturprotokol

Schnorr-algoritmen kan også bruges som en protokol til digital signering af en besked . Nøgleparret er det samme, men en envejs-hash-funktion er tilføjet .

Signaturgenerering

  1. Foreløbig behandling. Peggy vælger et tilfældigt tal mindre end , og beregner . Dette er forudberegningsfasen. Det er værd at bemærke, at de samme offentlige og private nøgler kan bruges til at signere forskellige beskeder, mens nummeret vælges på ny for hver besked.
  2. Peggy sammenkæder beskeden og hash resultatet for at få den første signatur:
  3. Peggy beregner den anden signatur. Det skal bemærkes, at den anden signatur beregnes modulo . .
  4. Peggy sender Victor en besked og billedtekster .

Signaturbekræftelse

  1. Victor beregner (eller , hvis det beregnes som ).
  2. Victor tjekker det . Hvis det er tilfældet, anser den signaturen for at være gyldig.

Effektivitet

De vigtigste beregninger til generering af en signatur udføres på forbehandlingsstadiet og på beregningsstadiet , hvor tallene og har rækkefølgen af ​​bit, og parameteren  er en bit. Den sidste multiplikation er ubetydelig sammenlignet med den modulære multiplikation i RSA- skemaet .

Signaturverifikation består hovedsageligt af en beregning , der kan udføres på gennemsnittet af modulo-beregninger , hvor der er en længde i bit.

En kortere signatur reducerer antallet af operationer til signaturgenerering og -verifikation: i Schnorr-ordningen og i ElGamal-ordningen .

Eksempel

Nøglegenerering:

  1. og . Og .
  2. Den er valgt , som er elementet i feltet . Så og
  3. Peggy vælger derefter nøglen
  4. Peggys private nøgle er , offentlige nøgle er .

Meddelelsessignatur:

  1. Peggy skal underskrive beskeden .
  2. Peggy vælger og beregner .
  3. Antag, at meddelelsen er , og den serielle forbindelse betyder . Antag også, at hashing af denne værdi giver en digest . Dette betyder .
  4. Peggy beregner .
  5. Peggy sender Victor og .

Patenter

Schnorr-ordningen har patenter i flere lande. For eksempel US #4.995.082 dateret 19. februar 1991 (udløb 19. februar 2008). I 1993 erhvervede Public Key Partners (PKP) fra Sunnyvale de verdensomspændende rettigheder til dette patent. Ud over USA er denne ordning også patenteret i flere andre lande.

Skematiske ændringer

En kredsløbsmodifikation af Ernie Brickell og Kevin McCurley i 1992 forbedrede kredsløbets sikkerhed i høj grad. Deres metode bruger tallet , der ligesom , er svært at nedbryde, en simpel divisor af tallet , og et eksponentelement i , som efterfølgende bruges i signaturen. I modsætning til Schnorr-skemaet beregnes signaturen i deres metode af ligningen

.

Fordele

Mens Brickell og McCarleys modifikation er beregningsmæssigt mindre effektiv end Schnorr-skemaet, har denne metode den fordel, at den er baseret på vanskeligheden ved to komplekse problemer:

  • beregning af logaritmen i den cykliske undergruppe af orden i ;
  • faktorisering .

Se også

Noter

Litteratur

  • Schnorr CP Efficient Signature Generation af Smart Cards. - J. Cryptology, 1991. - S. 161-174.
  • Schnorr CP Effektiv identifikation og signaturer til smartkort. Fremskridt inden for kryptologi - CRYPTO'89. Lecture Notes in Computer Science 435. - 1990. - S. 239 - 252.
  • A. Menezes, P. van Oorschot, S. Vanstone. Håndbog i anvendt kryptografi. - CRC Press, 1996. - 816 s. - ISBN 0-8493-8523-7 .
  • Schneier B. Anvendt kryptografi. Protokoller, algoritmer, kildekode i C-sprog = Applied Cryptography. Protocols, Algoritms and Source Code in C. - M. : Triumph, 2002. - 816 s. - 3000 eksemplarer.  - ISBN 5-89392-055-4 .
  • Varnovsky N. P. Kryptografiske protokoller // Introduktion til kryptografi / Redigeret af V. V. Yashchenko. - Peter, 2001. - 288 s. - ISBN 5-318-00443-1 . Arkiveret 25. februar 2008 på Wayback Machine

Links