Die Schnorr-Identifikation ist ein 1989/91 von Claus-Peter Schnorr entworfenes kryptographisches Identifikations-Schema, das auf der Schwierigkeit beruht, den diskreten Logarithmus zu berechnen. Aus der Schnorr-Identifikation leitet sich die Schnorr-Signatur ab. Diese digitale Signatur erfordert eine kryptographische Hashfunktion, eine mehrstufige Interaktion wie bei der Fiat-Shamir-Identifikation ist dagegen nicht erforderlich. Schnorr-Identifikation und Schnorr-Signatur wurden patentiert[1][2] und exklusiv an RSA sowie nicht-exklusiv an Siemens lizenziert; das Patent ist am 23. Februar 2010 abgelaufen.

Parameter

Bearbeiten

Systemweite Parameter

Bearbeiten

Alle Benutzer können diese Parameter gemeinsam nutzen:

  • Eine Gruppe   primer Ordnung  . Diese ist zyklisch,   sei ein Generator.

Schnorr schlägt vor, eine Untergruppe   von   für eine Primzahl   zu wählen. Er argumentiert, dass Schlüssel- und Signaturlängen sich auf   beziehen, das Sicherheitsniveau sich hingegen am größeren   orientiert.

Privater Schlüssel

Bearbeiten

Der nur dem Prover P bekannte private Schlüssel besteht aus einer zufällig gewählten Zahl:

  •   mit  

Öffentlicher Schlüssel

Bearbeiten

Der öffentliche Schlüssel ist das   entsprechende Gruppenelement  :

  •  

Drei-Schritt-Protokoll

Bearbeiten

Der Prover P identifiziert sich gegenüber dem Verifier V durch ein Protokoll bestehend aus 3 Schritten:

  1. Hinterlegung (Commitment): P wählt   zufällig mit   und sendet   an V.
  2. Frage (Challenge): V wählt   zufällig mit   und sendet   an P.
  3. Antwort (Response): P sendet   an V.

V akzeptiert die Antwort genau dann, wenn  

Sicherheitsdiskussion (informell)

Bearbeiten

Die Sicherheit der Schnorr-Identifikation ist auf die Komplexität des diskreten Logarithmus beweisbar zu reduzieren, d. h. wer das Schema bricht, kann auch effizient den diskreten Logarithmus berechnen. Von diesem Problem nimmt man allerdings nach Jahrzehnten intensiver Forschung an, dass es effizient nicht zu lösen ist. Diese beweisbare Reduktion auf bekannte, als schwierige eingestufte Probleme ist typisch für Public-Key-Verfahren.

Angenommen, es gäbe einen erfolgreichen Betrüger – einen Betrüger also, der also aus dem öffentlichen Schlüssel effizient   den geheimen Schlüssel   bestimmen kann –, so müsste dieser Betrüger dazu in der Lage sein, effizient den diskreten Logarithmus   von   zu berechnen – im Widerspruch zur Annahme, der diskrete Logarithmus sei schwierig.

  1. Simuliere den Algorithmus zur Identifikation, speichere den Zustand vor dem Senden der Frage   an den Betrüger.
  2. Wiederhole die Simulation an gespeicherten Zustand, wähle ein zufälliges   als Frage (mit großer Wahrscheinlichkeit   ist dies ungleich  ).
  1. Seien   und   die beiden (verschiedenen) Antworten zum gleichen Zufallswert   bzw.  
  2. Es gilt  , also  . Die Division durch   ist möglich, da die Differenz modulo q ungleich 0 ist da   prim ist, auch ein Inverses modulo q existiert.

Einzelnachweise

Bearbeiten
  1. Patent EP0384475: Angemeldet am 22. Februar 1990.
  2. Patent US4995082: Angemeldet am 23. Februar 1990.