Schnorr-Identifikation

Die Schnorr-Identifikation ist ein 1989/91 von Claus-Peter Schnorr entworfenes kryptographisches Identifikations-Schema, das auf der Schwierigkeit beruht, den diskreten Logarithmus zu berechnen. Aus der Schnorr-Identifikation leitet sich die Schnorr-Signatur ab. Diese digitale Signatur erfordert eine kryptographische Hashfunktion, eine mehrstufige Interaktion wie bei der Fiat-Shamir-Identifikation ist dagegen nicht erforderlich. Schnorr-Identifikation und Schnorr-Signatur wurden patentiert^[1]^[2] und exklusiv an RSA sowie nicht-exklusiv an Siemens lizenziert; das Patent ist am 23. Februar 2010 abgelaufen.

Parameter

Systemweite Parameter

Alle Benutzer können diese Parameter gemeinsam nutzen:

Eine Gruppe $G$ primer Ordnung $q=|G|$ . Diese ist zyklisch, $g$ sei ein Generator.

Schnorr schlägt vor, eine Untergruppe $G$ von $Z_{p}^{*}$ für eine Primzahl $p$ zu wählen. Er argumentiert, dass Schlüssel- und Signaturlängen sich auf $|G|$ beziehen, das Sicherheitsniveau sich hingegen am größeren $|Z_{p}^{*}|$ orientiert.

Privater Schlüssel

Der nur dem Prover P bekannte private Schlüssel besteht aus einer zufällig gewählten Zahl:

$x$ mit $0<x<q$

Öffentlicher Schlüssel

Der öffentliche Schlüssel ist das $x$ entsprechende Gruppenelement $y$ :

$y=g^{x}$

Drei-Schritt-Protokoll

Der Prover P identifiziert sich gegenüber dem Verifier V durch ein Protokoll bestehend aus 3 Schritten:

Hinterlegung (Commitment): P wählt $k$ zufällig mit $0<k<q$ und sendet $r:=g^{k}{\bmod {q}}$ an V.
Frage (Challenge): V wählt $e$ zufällig mit $0<e<q$ und sendet $e$ an P.
Antwort (Response): P sendet $s:=(k+xe){\bmod {q}}$ an V.

V akzeptiert die Antwort genau dann, wenn $g^{s}=ry^{e}$ .

Sicherheitsdiskussion (informell)

Die Sicherheit der Schnorr-Identifikation basiert beweisbar auf der Komplexität des diskreten Logarithmus. Von diesem Problem nimmt man allerdings nach Jahrzehnten intensiver Forschung an, dass es nicht effizient zu lösen ist.

Einerseits könnte man mit der Möglichkeit, effizient diskrete Logarithmen zu berechnen, das Verfahren brechen, da der geheime Schlüssel $x$ sich als Logarithmus des öffentlichen Schlüssels $y=g^{x}$ zur Basis $g$ in der Gruppe $G$ ergibt.

Wäre man andererseits in der Lage, das Verfahren zu brechen, also bei gegebener Gruppe $G$ zu beliebigem Generator $g$ und öffentlichem Schlüssel $y$ auf jede Frage $e$ die korrekte Antwort $s$ zu geben, könnte man damit effizient diskrete Logarithmen berechnen. Um den diskreten Logarithmus von $y$ zur Basis $g$ zu berechnen, kann man nämlich als P folgendermaßen das Protokoll mit $g$ als Generatorparameter und $y$ als öffentlichem Schlüssel nutzen: Man führt das Protokoll mehrmals aus und sendet dabei im ersten Schritt immer dasselbe $r$ , und zwar wiederholt man das Protokoll so oft, bis V in zwei Durchgängen im jeweils zweiten Schritt zwei verschiedene Fragen $e$ gestellt hat. Diese seien $e_{1}$ und $e_{2}$ . (Wenn V die Frage $e$ im zweiten Schritt zufällig und gleichverteilt unter den $q-1$ infrage kommenden Werten wählt, braucht man im Mittel

{\frac {2q-3}{q-2}}=2+{\frac {1}{q-2}}

Durchläufe, siehe geometrische Verteilung.) Die zugehörigen Antworten, die man auf $e_{1}$ bzw. $e_{2}$ dann im dritten Schritt gegeben hat, seien $s_{1}$ und $s_{2}$ . Wegen $e_{1}\neq e_{2}$ gilt $e_{1}-e_{2}\neq 0$ und weil $q$ eine Primzahl ist, besitzt $e_{1}-e_{2}$ in $\mathbb {Z} /q\mathbb {Z}$ ein multiplikatives Inverses, also eine Zahl $d$ , für die

d\cdot \left(e_{1}-e_{2}\right)=1{\pmod {q}}

gilt ( $d$ lässt sich beispielsweise mit dem erweiterten euklidischen Algorithmus effizient bestimmen). Der diskrete Logarithmus von $y$ zur Basis $g$ ist jetzt $d\cdot \left(s_{1}-s_{2}\right){\bmod {q}}$ , denn da $s_{1}$ und $s_{2}$ korrekte Antworten auf die Fragen $e_{1}$ und $e_{2}$ sind, gilt

g^{s_{1}}=ry^{e_{1}}

und

g^{s_{2}}=ry^{e_{2}}

und es folgt

{\begin{aligned}g^{d\cdot \left(s_{1}-s_{2}\right)}&=g^{d\cdot s_{1}-d\cdot s_{2}}\\&=g^{d\cdot s_{1}}\cdot g^{-d\cdot s_{2}}\\&=\left(g^{s_{1}}\right)^{d}\cdot \left(g^{s_{2}}\right)^{-d}\\&=\left(ry^{e_{1}}\right)^{d}\cdot \left(ry^{e_{2}}\right)^{-d}\\&=r^{d}\cdot y^{d\cdot e_{1}}\cdot r^{-d}\cdot y^{-d\cdot e_{2}}\\&=y^{d\cdot e_{1}-d\cdot e_{2}}\\&=y^{d\cdot \left(e_{1}-e_{2}\right)}\\&=y{\text{.}}\end{aligned}}

Einzelnachweise

↑ Patent EP0384475: Angemeldet am 22. Februar 1990.‌
↑ Patent US4995082: Angemeldet am 23. Februar 1990.‌

[1] Patent EP0384475: Angemeldet am 22. Februar 1990.‌

[2] Patent US4995082: Angemeldet am 23. Februar 1990.‌

[1]

[2]