Kryptographische Protokolle: Stark blinde Unterschrift

2b. Kryptographische Protokolle

Stark blinde Unterschrift

Konstruktion einer stark blinden Unterschrift

Prinzip:

Das Dokument m wird von A vor der Unterschrift in eine unleserliche Gestalt C(m) transformiert - dies ist ein Verschlüsselungsschritt, der in diesem Zusammenhang auch »Camouflage genannt wird, z. B. unter Verwendung eines Zufallsschlüssels.
Dann wird es von N unterschrieben: D(C(m)).
Nach der Unterschrift wird es von A zurücktransformiert: C'(D(C(m))) ?=? D(m).

Damit das funktioniert, muß die Rücktransformation C' aus C (und bekannten Parametern) leicht bestimmbar sein.

C bleibt Geheimnis von A !

Ablauf einer stark blinden Unterschrift

Realisierung mit RSA

N hat RSA-Schlüssel mit öffentlichem Teil (n,e) und geheimem Teil d.

Die Besitzerin A will das Dokument m unterschreiben lassen.

A

wählt eine große Zahl c (als »Camouflage«) zufällig,
bildet das camouflierte Dokument M = c^em mod n, [Verschiebeschiffre auf der Gruppe (Z/nZ)^×, perfekt sicher]
gibt M an N.

N gibt t = M^d mod n an A zurück.

A entfernt die Camouflage: s = tc^-1 mod n.

(s = M^dc^-1 = c^edm^dc^-1 = m^d mod n.)

Unterschriebenes Dokument: (m,s).

Prüfung: Mit dem öffentlichen Schlüssel von N muß gelten: s^e mod n = m .

Signaturparameter: M, t.

Eigenschaften: N kann das Dokument nicht wiedererkennen oder der Besitzerin zuordnen, da sie nur M gesehen hat. ===> stark blinde Unterschrift.

Vorlesung Datenschutz und Datensicherheit
Sommersemester 1999, Fachbereich Mathematik
Johannes-Gutenberg-Universität Mainz

Autor: Klaus Pommerening, 31. März 1999; letzte Änderung: 18. Juni 1999

E-Mail an Pommerening@imsd.uni-mainz.de.

	A		wählt eine große Zahl c (als »Camouflage«) zufällig, bildet das camouflierte Dokument M = c^em mod n, [Verschiebeschiffre auf der Gruppe (Z/nZ)^×, perfekt sicher] gibt M an N.
	N		gibt t = M^d mod n an A zurück.
	A		entfernt die Camouflage: s = tc^-1 mod n.