Seite 1 von 1

Übung 2, Task 4 bzw. Winternitz OTS

Verfasst: 24. Feb 2009 15:22
von Patr0rc
Wir fragen uns grade, wieso beim Winternitz OTS die Checksumme benötigt wird?! Unserer Meinung nach kann man Änderungen der Nachricht schon anhand der ersten t1 gehashten Bits erkennen. Kann das jemand erklären?

Re: Übung 2, Task 4 bzw. Winternitz OTS

Verfasst: 24. Feb 2009 16:30
von Xelord
Ich denke, diese wird nur dafür benötigt um zu sagen, ob die Checksumme korrekt berechnet wurde, was meiner Meinung aber ebenfalls, wie schon angedeutet, über die ersten t1 Stellen erkennbar ist.

Re: Übung 2, Task 4 bzw. Winternitz OTS

Verfasst: 24. Feb 2009 16:53
von mischnei
Hey,

when hashing parts of the signature again you can create a new signature that will be truely accepted... Does the solution of Ex1 Task 7c not help you?

nice day

michael

Re: Übung 2, Task 4 bzw. Winternitz OTS

Verfasst: 24. Feb 2009 17:14
von Patr0rc
Just hadn't this task in mind by thinking of the other one :-) I'll think about it later or tomorrow. Thanks for the fast support!!

Re: Übung 2, Task 4 bzw. Winternitz OTS

Verfasst: 26. Feb 2009 13:01
von Xelord
Was mir hier noch nicht so ganz einleuchtet ist, dass ich zwar eine neue gültige Signatur erzeugen kann. Sie verifiziert das m natürlich nicht, da die Checksumme die Exponenten bestimmt. Aber wie kann ich ein m' erzeugen, dass diese neue Signatur darauf gültig ist ?

Re: Übung 2, Task 4 bzw. Winternitz OTS

Verfasst: 26. Feb 2009 14:49
von mischnei
Hi,

you don't need that message m'; depends on your attacker model...

Greetz

Michael

Re: Übung 2, Task 4 bzw. Winternitz OTS

Verfasst: 26. Feb 2009 15:13
von Xelord
Thanks.

Re: Übung 2, Task 4 bzw. Winternitz OTS

Verfasst: 2. Mär 2009 11:25
von Xelord
Kann es sein, dass bei der Aufgabe der private Key nicht laut Skript von Erik Dahmen gebildet wurde.
X hat hier 7 Teile a 3 bit
Aber laut Skript sollte es doch 7 teile a 15bit sein, oder ?
Außerdem ist H=f=g ?

Re: Übung 2, Task 4 bzw. Winternitz OTS

Verfasst: 2. Mär 2009 12:59
von mischnei
Hey,

The notation of the PQC-book differs a bit from the exercise, I'm gonna correct the exercise.

In the exercise it is H = f, where the output of H should have 3 bits. The message digest lenght (which is the output length of g) is 15 bit.

Greetz

Michael