Angriffe gegen digitale Signaturen

Bevor wir drei Klassen von Angriffen gegen digitale Signaturen erwähnen, diskutieren wir, wie Verschlüsselung und Signierung zusammen benutzt werden können. Dabei bieten sich prinzipiell zwei Möglichkeiten an:

Erst signieren, dann verschlüsseln.
Erst verschlüsseln, dann signieren.

Der zweite Ansatz besitzt ein Problem. Wenn ein Angreifer das Paar von verschlüsselter Botschaft und Signatur abfängt, dann kann er die verschlüsselte Botschaft mit seiner eigenen Signatur versehen und das Paar aus verschlüsselter Botschaft und neuer Signatur weiterleiten. Der ursprüngliche Empfänger wird dann die empfangene Nachricht als von Angreifer signiert ansehen und denken, dass die Nachricht vom Angreifer stammt. Es sollte also immer erst signiert und dann verschlüsselt werden.

Wir unterscheiden nun zwischen den folgenden drei Klassen von Angriffen:

Key Only Attack.
Der Angreifer kennt nur den öffentlichen Schlüssel des Unterschreibers.
Known Signature Attack.
Der Angreifer kennt den öffentlichen Schlüssel sowie einige Nachricht/Unterschrift-Paare, also $\text{[math]}$ für $\text{[math]}$ .
Chosen Message Attack.
Der Angreifer kennt zu von ihm gewählten Nachrichten $\text{[math]}$ die entsprechenden Unterschriften $\text{[math]}$ .

Ein Signaturangriff ist erfolgreich, wenn der Angreifer eine gültige fremde Unterschrift unter eine beliebige Nachricht setzen kann. Das RSA-System ist nicht ganz sicher gegen einen Known Signature Attack. Zwar kann ein Angreifer nicht ohne weiteres beliebige Nachrichten mit einer fremden Unterschrift signieren, aber er kann das Produkt zweier fremder Nachrichten signieren: Nehmen wir an, der Angreifer kennt die Paare $\text{[math]}$ und $\text{[math]}$ . Dann ist

\text{[math]}

Im Allgemeinen ist jedoch das Produkt zweier Nachrichten nicht wieder eine sinnvolle Nachricht. Jedoch sieht es für den Empfänger der so signierten Nachricht tatsächlich so aus, als ob die Nachricht vom legalen Versender stammt. Vermeiden kann man diese Unsicherheit, indem man statt der Nachricht $\text{[math]}$ die Nachricht $\text{[math]}$ (Komposition) signiert, denn das Produkt zweier Zahlen der Form $\text{[math]}$ oder das Inverse hat im Allgemeinen nicht wieder diese Form.