Übung 2, Task 4 bzw. Winternitz OTS

[Patr0rc]

Wir fragen uns grade, wieso beim Winternitz OTS die Checksumme benötigt wird?! Unserer Meinung nach kann man Änderungen der Nachricht schon anhand der ersten t1 gehashten Bits erkennen. Kann das jemand erklären?

[Xelord]

Ich denke, diese wird nur dafür benötigt um zu sagen, ob die Checksumme korrekt berechnet wurde, was meiner Meinung aber ebenfalls, wie schon angedeutet, über die ersten t1 Stellen erkennbar ist.

[mischnei]

Hey,

when hashing parts of the signature again you can create a new signature that will be truely accepted... Does the solution of Ex1 Task 7c not help you?

nice day

michael

[Patr0rc]

Just hadn't this task in mind by thinking of the other one I'll think about it later or tomorrow. Thanks for the fast support!!

[Xelord]

Was mir hier noch nicht so ganz einleuchtet ist, dass ich zwar eine neue gültige Signatur erzeugen kann. Sie verifiziert das m natürlich nicht, da die Checksumme die Exponenten bestimmt. Aber wie kann ich ein m' erzeugen, dass diese neue Signatur darauf gültig ist ?

[mischnei]

Hi,

you don't need that message m'; depends on your attacker model...

Greetz

Michael

[Xelord]

Thanks.

[Xelord]

Kann es sein, dass bei der Aufgabe der private Key nicht laut Skript von Erik Dahmen gebildet wurde.
X hat hier 7 Teile a 3 bit
Aber laut Skript sollte es doch 7 teile a 15bit sein, oder ?
Außerdem ist H=f=g ?

[mischnei]

Hey,

The notation of the PQC-book differs a bit from the exercise, I'm gonna correct the exercise.

In the exercise it is H = f, where the output of H should have 3 bits. The message digest lenght (which is the output length of g) is 15 bit.

Greetz

Michael