www.wikidata.de-de.nina.az

Fiat Shamir Protokoll Das ist ein Protokoll aus dem Gebiet der Kryptografie mit dem man sich jemandem gegenüber authenti

Fiat-Shamir-Protokoll

Das Fiat-Shamir-Protokoll ist ein Protokoll aus dem Gebiet der Kryptografie, mit dem man sich jemandem gegenüber authentisieren kann. Dazu zeigt man, dass man eine Quadratwurzel (privater Schlüssel) einer vorher veröffentlichten Quadratzahl (öffentlicher Schlüssel) kennt. Bei dem Verfahren wird nur ein einziges Bit des privaten Schlüssels preisgegeben, nämlich das Vorzeichen. Eine Variante ist das Feige-Fiat-Shamir-Protokoll, bei dem keine Information über den privaten Schlüssel preisgegeben wird. Man spricht deswegen von einem Zero-Knowledge-Protokoll. Insbesondere ist das Protokoll perfekt zero-knowledge. Das heißt, es gibt einen Simulations-Algorithmus, der in polynomieller Zeit eine Mitschrift erzeugt, die von einer echten Interaktion nicht zu unterscheiden ist.

Das Fiat-Shamir-Protokoll wurde im Jahr 1986 von Amos Fiat und Adi Shamir vorgestellt. An der Entwicklung des Feige-Fiat-Shamir-Protokolls war auch Uriel Feige beteiligt.

Das Verfahren arbeitet interaktiv, das heißt, es finden mehrere Runden zwischen Geheimnisträger und dem Prüfer statt. In jeder Runde kann die Kenntnis der Zahl zu 50 % bewiesen werden. Nach zwei Runden bleibt eine Unsicherheit von 25 %, nach der dritten Runde nur noch 12,5 % usw. Nach Runden beträgt die Unsicherheit .

Die Sicherheit des Fiat-Shamir-Protokolls beruht auf der Schwierigkeit, Quadratwurzeln im Restklassenring zu berechnen. Diese Berechnung ist genauso schwierig, wie die Zahl ( und sind Primzahlen) zu faktorisieren und damit praktisch nicht durchführbar, wenn die Zahlen hinreichend groß sind.

Protokoll Bearbeiten

Beim Fiat-Shamir-Protokoll wird eine vertrauenswürdige dritte Partei benötigt. Diese veröffentlicht einen RSA-Modul , dessen Primfaktoren und sie geheim hält. Die Beweiserin (Geheimnisträgerin) Peggy wählt eine zu teilerfremde Zahl als persönliches Geheimnis, mit dem sie sich Victor (V wie Verifizierer) gegenüber authentisieren will. Diese darf sie niemandem weitergeben. Sie berechnet und registriert als öffentlichen Schlüssel bei der dritten Partei.

Eine einzelne Runde im Fiat-Shamir-Protokoll besteht aus den folgenden Aktionen:

  1. Peggy wählt eine Zufallszahl , berechnet und sendet an Victor.
  2. Victor wählt zufällig ein und sendet dies an Peggy.
  3. Peggy berechnet und sendet an Victor.
  4. Victor überprüft, ob gilt.

Dieses Protokoll ist noch nicht Zero-Knowledge, da es ein Bit Information über preisgibt: Würde Viktor auf irgendeine Weise erfahren, dass für eine Zahl gilt, könnte er nach Ausführung des Protokolls sicher entscheiden, ob oder gilt; er hätte das fehlende Bit Information (das Vorzeichen von bzw. ) also aus den Daten des Protokolls gewonnen.

Im Feige-Fiat-Shamir-Protokoll sendet Peggy im ersten Schritt entweder oder an Victor. Die Wahl, welchen Wert sie sendet, trifft sie zufällig. Viktor prüft dann im letzten Schritt, dass entweder oder gilt. Dadurch wird auch das Vorzeichen von nicht preisgegeben und das Protokoll ist Zero-Knowledge.

Schwächen Bearbeiten

Für die Sicherheit des Protokolls ist die Wahl der Zufallszahl r von großer Bedeutung.
Wird dasselbe zweimal verwendet und ist dabei einmal 0 und einmal 1, lässt sich der private Schlüssel berechnen.

Beispiel Bearbeiten

In beiden Fällen hat denselben Wert.

  1. Runde
    • Peggy überträgt:
  2. Runde
    • Peggy überträgt:

Ein Angreifer kann nun einfach berechnen. Damit ist kein Geheimnis mehr, das nur Peggy kennt.

Quellen Bearbeiten

  • Albrecht Beutelspacher, Jörg Schwenk, Klaus-Dieter Wolfenstetter: Moderne Verfahren der Kryptographie. Vieweg+Teubner, Braunschweig/Wiesbaden 2010, 7. Auflage, ISBN 978-3-8348-1228-5, S. 49–50
  • Amos Fiat, Adi Shamir: How to Prove Yourself: Practical Solutions to Identification and Signature Problems. In: Proceedings on Advances in Cryptology - CRYPTO '86. Springer-Verlag, 1987, ISBN 0-387-18047-8, S. 186–194

Einzelnachweise Bearbeiten

  1. Uriel Feige, Amos Fiat, Adi Shamir: Zero-knowledge proofs of identity. In: Journal of Cryptology. Band 1, Nr. 2, 1. Juni 1988, ISSN 1432-1378, S. 77–94, doi:10.1007/BF02351717.
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Das Fiat Shamir Protokoll ist ein Protokoll aus dem Gebiet der Kryptografie mit dem man sich jemandem gegenuber authentisieren kann Dazu zeigt man dass man eine Quadratwurzel privater Schlussel einer vorher veroffentlichten Quadratzahl offentlicher Schlussel kennt Bei dem Verfahren wird nur ein einziges Bit des privaten Schlussels preisgegeben namlich das Vorzeichen Eine Variante ist das Feige Fiat Shamir Protokoll bei dem keine Information uber den privaten Schlussel preisgegeben wird Man spricht deswegen von einem Zero Knowledge Protokoll Insbesondere ist das Protokoll perfekt zero knowledge Das heisst es gibt einen Simulations Algorithmus der in polynomieller Zeit eine Mitschrift erzeugt die von einer echten Interaktion nicht zu unterscheiden ist Das Fiat Shamir Protokoll wurde im Jahr 1986 von Amos Fiat und Adi Shamir vorgestellt An der Entwicklung des Feige Fiat Shamir Protokolls war auch Uriel Feige beteiligt Das Verfahren arbeitet interaktiv das heisst es finden mehrere Runden zwischen Geheimnistrager und dem Prufer statt In jeder Runde kann die Kenntnis der Zahl zu 50 bewiesen werden Nach zwei Runden bleibt eine Unsicherheit von 25 nach der dritten Runde nur noch 12 5 usw Nach n displaystyle n Runden betragt die Unsicherheit 2 n displaystyle 2 n Die Sicherheit des Fiat Shamir Protokolls beruht auf der Schwierigkeit Quadratwurzeln im Restklassenring Z n displaystyle mathbb Z n zu berechnen Diese Berechnung ist genauso schwierig wie die Zahl n p q displaystyle n p cdot q p displaystyle p und q displaystyle q sind Primzahlen zu faktorisieren und damit praktisch nicht durchfuhrbar wenn die Zahlen hinreichend gross sind Inhaltsverzeichnis 1 Protokoll 2 Schwachen 2 1 Beispiel 3 Quellen 4 EinzelnachweiseProtokoll BearbeitenBeim Fiat Shamir Protokoll wird eine vertrauenswurdige dritte Partei benotigt Diese veroffentlicht einen RSA Modul n p q displaystyle n p cdot q nbsp dessen Primfaktoren p displaystyle p nbsp und q displaystyle q nbsp sie geheim halt Die Beweiserin Geheimnistragerin Peggy wahlt eine zu n displaystyle n nbsp teilerfremde Zahl s displaystyle s nbsp als personliches Geheimnis mit dem sie sich Victor V wie Verifizierer gegenuber authentisieren will Diese darf sie niemandem weitergeben Sie berechnet v s 2 mod n displaystyle v equiv s 2 bmod n nbsp und registriert v displaystyle v nbsp als offentlichen Schlussel bei der dritten Partei nbsp Eine einzelne Runde im Fiat Shamir Protokoll besteht aus den folgenden Aktionen Peggy wahlt eine Zufallszahl r displaystyle r nbsp berechnet x r 2 mod n displaystyle x equiv r 2 bmod n nbsp und sendet x displaystyle x nbsp an Victor Victor wahlt zufallig ein e 0 1 displaystyle e in 0 1 nbsp und sendet dies an Peggy Peggy berechnet y r s e mod n displaystyle y equiv r cdot s e bmod n nbsp und sendet y displaystyle y nbsp an Victor Victor uberpruft ob y 2 mod n x v e mod n displaystyle y 2 pmod n equiv x cdot v e pmod n nbsp gilt Dieses Protokoll ist noch nicht Zero Knowledge da es ein Bit Information uber r mod n displaystyle r bmod n nbsp preisgibt Wurde Viktor auf irgendeine Weise erfahren dass r c mod n displaystyle r equiv pm c bmod n nbsp fur eine Zahl c displaystyle c nbsp gilt konnte er nach Ausfuhrung des Protokolls sicher entscheiden ob r c mod n displaystyle r equiv c bmod n nbsp oder r c mod n displaystyle r equiv c bmod n nbsp gilt er hatte das fehlende Bit Information das Vorzeichen von c displaystyle c nbsp bzw r displaystyle r nbsp also aus den Daten des Protokolls gewonnen Im Feige Fiat Shamir Protokoll 1 sendet Peggy im ersten Schritt entweder x displaystyle x nbsp oder x mod n displaystyle x bmod n nbsp an Victor Die Wahl welchen Wert sie sendet trifft sie zufallig Viktor pruft dann im letzten Schritt dass entweder y 2 x v e mod n displaystyle y 2 equiv x cdot v e bmod n nbsp oder y 2 x v e mod n displaystyle y 2 equiv x cdot v e bmod n nbsp gilt Dadurch wird auch das Vorzeichen von c displaystyle c nbsp nicht preisgegeben und das Protokoll ist Zero Knowledge Schwachen BearbeitenFur die Sicherheit des Protokolls ist die Wahl der Zufallszahl r von grosser Bedeutung Wird dasselbe r displaystyle r nbsp zweimal verwendet und ist e displaystyle e nbsp dabei einmal 0 und einmal 1 lasst sich der private Schlussel berechnen Beispiel Bearbeiten In beiden Fallen hat x r 2 mod n displaystyle x equiv r 2 bmod n nbsp denselben Wert Runde e 1 0 displaystyle e 1 0 nbsp Peggy ubertragt y 1 r mod n displaystyle y 1 equiv r bmod n nbsp Runde e 2 1 displaystyle e 2 1 nbsp Peggy ubertragt y 2 r s mod n displaystyle y 2 equiv r cdot s bmod n nbsp Ein Angreifer kann nun einfach s displaystyle s nbsp berechnen Damit ist s displaystyle s nbsp kein Geheimnis mehr das nur Peggy kennt s y 2 r 1 y 2 y 1 1 mod n displaystyle s equiv y 2 cdot r 1 equiv y 2 cdot y 1 1 bmod n nbsp Quellen BearbeitenAlbrecht Beutelspacher Jorg Schwenk Klaus Dieter Wolfenstetter Moderne Verfahren der Kryptographie Vieweg Teubner Braunschweig Wiesbaden 2010 7 Auflage ISBN 978 3 8348 1228 5 S 49 50 Amos Fiat Adi Shamir How to Prove Yourself Practical Solutions to Identification and Signature Problems In Proceedings on Advances in Cryptology CRYPTO 86 Springer Verlag 1987 ISBN 0 387 18047 8 S 186 194Einzelnachweise Bearbeiten Uriel Feige Amos Fiat Adi Shamir Zero knowledge proofs of identity In Journal of Cryptology Band 1 Nr 2 1 Juni 1988 ISSN 1432 1378 S 77 94 doi 10 1007 BF02351717 Abgerufen von https de wikipedia org w index php title Fiat Shamir Protokoll amp oldid 219824235