Frage zu CR, EU-CMA, SU-CMA

DMT
Windoof-User
Windoof-User
Beiträge: 25
Registriert: 18. Dez 2007 23:54

Frage zu CR, EU-CMA, SU-CMA

Beitrag von DMT » 28. Feb 2009 17:21

Hallo,
wir haben ein paar Fragen zur den Aufgaben aus Exercise 1:

Zu SU-CMA. Angenommen wir signieren zwei unterschiedliche Nachrichten m_1 und m_2 und bekommen die Signaturen s_1 und s_2 zurück mit s_1=s_2.
Ist dann (m_1,s_2) bzw. (m_2,s_1) eine gültige Fälschung gegen SU-CMA? Unserer Meinung nach nicht...

Zu Task 3 c): Dürfen wir m_1 und m_2, die wir durch unsere BlackBox, die CR bricht, erhalten, benutzen um eine Fälschung zu bauen? Wenn nein, warum nicht? (In der Lösung steht, dass C die Nachrichten x_1 und x_2 noch mal zu H schickt. Müsste er aber doch eigentlich nicht, da er bereits weis, dass die Ausgaben aus C' eine Kollision ergeben. Ergo bräuchte er nur EINE (o.B.d.A x_1) Nachricht zu H schicken, er weis ja bereits, dass H(x_1)=H(x_2). Eine gültige Fälschung wäre dann ja (x_2,H(x_1)).
"Quis custodiet ipsos custodes?"
~Juvenal

rueckert
Mausschubser
Mausschubser
Beiträge: 57
Registriert: 9. Apr 2008 09:25

Re: Frage zu CR, EU-CMA, SU-CMA

Beitrag von rueckert » 1. Mär 2009 16:47

DMT hat geschrieben:Hallo,
wir haben ein paar Fragen zur den Aufgaben aus Exercise 1:

Zu SU-CMA. Angenommen wir signieren zwei unterschiedliche Nachrichten m_1 und m_2 und bekommen die Signaturen s_1 und s_2 zurück mit s_1=s_2.
Ist dann (m_1,s_2) bzw. (m_2,s_1) eine gültige Fälschung gegen SU-CMA? Unserer Meinung nach nicht...
Wer sagt es wäre eine?
DMT hat geschrieben: Zu Task 3 c): Dürfen wir m_1 und m_2, die wir durch unsere BlackBox, die CR bricht, erhalten, benutzen um eine Fälschung zu bauen? Wenn nein, warum nicht? (In der Lösung steht, dass C die Nachrichten x_1 und x_2 noch mal zu H schickt. Müsste er aber doch eigentlich nicht, da er bereits weis, dass die Ausgaben aus C' eine Kollision ergeben. Ergo bräuchte er nur EINE (o.B.d.A x_1) Nachricht zu H schicken, er weis ja bereits, dass H(x_1)=H(x_2). Eine gültige Fälschung wäre dann ja (x_2,H(x_1)).
Die Übung zeigt ja lediglich, dass nicht jeder erfolgreiche Angreifer gegen CR auch das entsprechendes Signaturschema fälschen kann. Sie zeigt nicht, dass es keine solchen Angreifer gibt.

Antworten

Zurück zu „Archiv“