RSA blinde Signaturen fälschen < Krypt.+Kod.+Compalg. < Theoretische Inform. < Hochschule < Informatik < Vorhilfe
|
| Status: |
(Frage) überfällig  | | Datum: | 00:50 Sa 25.02.2012 | | Autor: | foobar |
Hallo liebe Freunde der Mathematik,
ich beschäftige mich gerade mit blinden Signaturen [1] mit RSA.
Das ist mir so weit auch alles klar. Eine Nachricht wird unkenntlich gemacht:
$m' = m * [mm] r^e \bmod [/mm] n$
Die unkenntliche Nachricht wird signiert:
$s' = m'^d [mm] \bmod [/mm] n$
Die Signatur wird entblindet:
$s = [mm] r^{-1} [/mm] * s' [mm] \bmod [/mm] n$
Nun gibt es allerdings Texte [2] die behaupten, ein Angreifer könne beliebig viele Signaturen erhalten, indem er eine Nachricht in der Form $m = [mm] m_0 [/mm] * [mm] m_1 [/mm] * [mm] m_2$ [/mm] erstellt und dem Unterzeichner vorlegt. Die resultierende Signatur nach dem Entblinden wäre dann $s = [mm] m_0^d [/mm] * [mm] m_1^d [/mm] * [mm] m_2^d \bmod [/mm] n$
Mir ist jedoch nicht klar, wie ich daraus die einzelnen Signaturen extrahieren kann. Also, wie erhalte ich die Signatur [mm] s_0 [/mm] zur Nachricht [mm] m_0, s_1 [/mm] zur Nachricht [mm] m_1, [/mm] usw. Andere Literatur die diesen Angriff erwähnt hab ich bis jetzt auch noch nicht gefunden.
Wäre schön, wenn sich jemand damit auskennt und so nett ist mir ein paar Hinweise zu geben.
vielen Dank.
[1] http://en.wikipedia.org/wiki/Blind_signature
[2] http://books.google.de/books?id=_d7RUNF-2tcC&lpg=PP1&hl=de&pg=PA12#v=onepage&q&f=false (Seite 12, oben)
Ich habe diese Frage in keinem Forum auf anderen Internetseiten gestellt.
|
|
| |
|
| Status: |
(Mitteilung) Reaktion unnötig  | | Datum: | 11:22 Do 01.03.2012 | | Autor: | felixf |
Moin!
> ich beschäftige mich gerade mit blinden Signaturen [1] mit
> RSA.
> Das ist mir so weit auch alles klar. Eine Nachricht wird
> unkenntlich gemacht:
> [mm]m' = m * r^e \bmod n[/mm]
> Die unkenntliche Nachricht wird
> signiert:
> [mm]s' = m'^d \bmod n[/mm]
> Die Signatur wird entblindet:
> [mm]s = r^{-1} * s' \bmod n[/mm]
Soweit so gut.
> Nun gibt es allerdings Texte [2] die behaupten, ein
Naja, das ist genau ein Text. Hast du noch weitere Quellen, die das behaupten?
> Angreifer könne beliebig viele Signaturen erhalten, indem
> er eine Nachricht in der Form [mm]m = m_0 * m_1 * m_2[/mm] erstellt
> und dem Unterzeichner vorlegt. Die resultierende Signatur
> nach dem Entblinden wäre dann [mm]s = m_0^d * m_1^d * m_2^d \bmod n[/mm]
>
> Mir ist jedoch nicht klar, wie ich daraus die einzelnen
> Signaturen extrahieren kann. Also, wie erhalte ich die
> Signatur [mm]s_0[/mm] zur Nachricht [mm]m_0, s_1[/mm] zur Nachricht [mm]m_1,[/mm] usw.
> Andere Literatur die diesen Angriff erwähnt hab ich bis
> jetzt auch noch nicht gefunden.
Ich auch nicht. Und ich sehe auch nicht, wie man die Signaturen nach dem Entblinden extrahieren kann. Ich bezweifle ehrlich gesagt, dass es "einfach so" (ohne weitere Signierungs-Aufträge zu geben) geht.
Du koenntst mal den Autor anschreiben und ihn fragen, wie das gehen soll (bzw. ob er da Referenzen zu angeben kann). Wuerd mich auch interessieren was er antwortet...
> Ich habe diese Frage in keinem Forum auf anderen
> Internetseiten gestellt.
Und was ist dann ![[]](/images/popup.gif) das hier? :)
LG Felix
|
|
|
| |
|
| Status: |
(Mitteilung) Reaktion unnötig | | Datum: | 02:20 Di 27.03.2012 | | Autor: | matux |
$MATUXTEXT(ueberfaellige_frage)
|
|
|
|
